Le 2017-09-14 12:42, Wallace a écrit :
Je rejoins ceux qui disent qu'un certificat payant est identique en service rendu à Letsencrypt.
De mon côté je préviens néanmoins les clients d'une chose peut importe l'autorité de certification.
Quand une autorité émet un certificat illégitime elle se fait radier des navigateurs pour la partie web et des certificats racines des OS.
On a déjà vu arriver cela à des autorités payantes avec des gars qui je suppose, savent la sanction qui arriverait s'ils développaient mal leurs API ou parcours achat.
Letsencrypt aussi génial que c'est, permet de tester en illimité ou presque le processus de validation. Je n'espère pas mais je pense néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un trouvera une faille et émettra des certificats gmail.com et consorts. Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés d'être exemplaires et d'appliquer la même sanction à savoir retirer l'autorité dans les nav et les OS.
Alors, je pense que justement ce ne sera pas le cas. Les CA à qui s'est arrivé n'ont pas eu de problème technique. Elles ont volontairement tricher, et elles ont encore plus tricher quand elles été prise sur le fait (coucou Wosign). Alors, c'est bien sûr difficile de prévoir le futur, mais on peut imaginer que s'il y a une faille, elle soit traité correctement du côté de Let's encrypt, ce qui veut dire que les navigateurs ne la banniront.
Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par contre il y a un risque à mon sens un peu plus élevé que cette autorité soit bannie du jour au lendemain. On sera là pour acheter des certificats ailleurs mais on aura pas mal de taf en quelques heures pour tous les remplacer ...
Pour Wosign, la sanction n'a pas été immédiate, il a fallu des discussions (au moins en partie publique chez Mozilla). Tout les clients de la CA ont eu des mois pour se tourner vers une CA en voyant le cap que prenaient les discussions. Je pense qu'on aura le temps de voir venir à ce moment là.