Le 2017-09-13 12:43, Jonathan Leroy a écrit :
Le 13 septembre 2017 à 11:51, Artur frsag@pydo.org a écrit :
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's Encrypt ne vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc pas de relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire circuler les informations en clair sur le réseau et ne pas avoir des messages d'avertissement du navigateur, mais c'est tout.
Let's Encrypt applique les règles du CA/Browsers Forum, comme tous les CA. Donc tu peux acheter un certificat DV ou tu veux, la procédure de validation sera toujours la même.
Le reste c'est du FUD :)
Après il existe des certificat OV et EV, mais soyons clair : c'est du bullshit. Même si l'identité du client est vérifiée lors de l'achat du certificat, ça ne prouve en *rien* que ton navigateur dialogue bien avec l'entité en question. Leurs serveurs peuvent avoir été piratés, par exemple.
Il semblerait que la vérification au niveau EV est assez light https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-eu...