Le Wed, 04 Oct 2000 19:40:42 +0200, tu as ecrit :
>- tu le fais toi même
>(avantage: gratis | désavantage: une alerte va apparaître dès qu'on browse
>ton site en https car personne ne certifie que ton certificat appartient à
>toi :-) donc ça risque de ne pas faire sérieux mais le cryptage fonctionne
>parfaitement !)
Deuxième avantage: ça permet d'avoir une petite idée de comment marche tout
le système, ce qui n'est à mon avis pas négligeable si on veut sérieusement
faire un site en https.
OpenSSL manque encore un peu de doc, mais c'est le couteau suisse des
certificats qui permet de générer tout ce qu'on veut.
>- tu achètes chez verisign ou swisskey
>(avantages: plus d'alertes | désavantages: c'est cher)
Attention, l'avantage n'est pas vrai pour Swisskey !
Pour la petite histoire, si un certificat ne provoque pas d'alerte dans
Netscape, c'est parce que le certificat de l'autorité de certification
(verisign p.ex.) est intégré d'office dans le browser. Effectivement, ça
fait plus sérieux. Mais ce n'est qu'une apparence: pour y être d'office, ce
n'est pas une question de sérieux, uniquement d'argent - ça coûte en effet
environ 200'000.- !! Raison pour laquelle Swisskey, qui n'est en fait
encore qu'une startup, n'y est pas.
Et pourtant, SwissKey est beaucoup plus sérieux que Verisign, car ils ne
délivrent _aucun_ certificat sans avoir contrôlé en personne l'identité du
demandeur ou de l'entreprise (je dois passer faire contrôler la mienne avec
ma carte d'identité demain), alors que Verisign vend des certificats par
simple email.
Mon avis, c'est qu'il faut se générer soi-même ses certificats, sauf s'il
s'agit d'un site ou l'image de marque est capitale et où on ne peut pas se
permettre une alerte (et pour lesquels on a de l'argent à jeter). Mais il
ne faut pas oublier
1) Que l'alerte n'est qu'un "Warning" pas trop affolant, et que 90% des
utilisateurs cliquent sur Ok sans la lire entièrement
2) Que, comme souvent dans ce domaine, l'_apparence_ de la sécurité semble
malheureusement beaucoup plus importante que la sécurité elle-même.
Ah oui, si vous regardez un par un les certificats reconnus par Netscape,
certains sont valides jusqu'en 2036 ! Il est difficile de traiter de
sérieux quelqu'un qui fait des projections à si long terme en informatique
et en cryptographie...
Frédéric
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
