Le 2017-09-14 12:42, Wallace a écrit :
Je rejoins ceux qui disent qu'un certificat payant est identique en
service rendu à Letsencrypt.
De mon côté je préviens néanmoins les clients d'une chose peut importe
l'autorité de certification.
Quand une autorité émet un certificat illégitime elle se fait radier
des
navigateurs pour la partie web et des certificats racines des OS.
On a déjà vu arriver cela à des autorités payantes avec des gars qui je
suppose, savent la sanction qui arriverait s'ils développaient mal
leurs
API ou parcours achat.
Letsencrypt aussi génial que c'est, permet de tester en illimité ou
presque le processus de validation. Je n'espère pas mais je pense
néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un
trouvera une faille et émettra des certificats gmail.com et consorts.
Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés
d'être exemplaires et d'appliquer la même sanction à savoir retirer
l'autorité dans les nav et les OS.
Alors, je pense que justement ce ne sera pas le cas. Les CA à qui s'est
arrivé n'ont pas eu de problème technique. Elles ont volontairement
tricher, et elles ont encore plus tricher quand elles été prise sur le
fait (coucou Wosign). Alors, c'est bien sûr difficile de prévoir le
futur, mais on peut imaginer que s'il y a une faille, elle soit traité
correctement du côté de Let's encrypt, ce qui veut dire que les
navigateurs ne la banniront.
Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par
contre il y a un risque à mon sens un peu plus élevé que cette autorité
soit bannie du jour au lendemain. On sera là pour acheter des
certificats ailleurs mais on aura pas mal de taf en quelques heures
pour
tous les remplacer ...
Pour Wosign, la sanction n'a pas été immédiate, il a fallu des
discussions (au moins en partie publique chez Mozilla). Tout les clients
de la CA ont eu des mois pour se tourner vers une CA en voyant le cap
que prenaient les discussions. Je pense qu'on aura le temps de voir
venir à ce moment là.
--
Xavier Claude
cont...@xavierclaude.be
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
