Bonjour,
Nétant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue.
Quel type de certificat me conseillé vous, cest une petite PME en BtoB.
Vous avez un fournisseur préféré ?
Je pensais a RapidSSL avec le basique mais est-ce adapter ? bien vu de la part des acheteurs qui font attention à ce genre de chose ?
Merci
Xavier
Le Wed, Sep 13, 2017 at 11:30:12AM +0200, Xavier ROCA a écrit:
N'étant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue. Quel type de certificat me conseillé vous, c'est une petite PME en BtoB. Vous avez un fournisseur préféré ?
S'ils ont pas de sous et juste un simple site, Let's Encrypt fait bien le boulot, mais il faut un peu d'huile de coude.
S'ils ont besoin d'un wildcard, les comodo achetés par exemple chez Namecheap font très bien le boulot, pour pas trop cher.
Arnaud.
+1 pour let's encrypts,
la mise en place dépends surtout de l'hosting, j'en utilise plusieurs avec debian et apache, c'est basique à mettre en place avec leurs outils
j'ai plus galéré sur un simple hosting de gandi
Nicolas
Le 13/09/2017 à 11:32, Arnaud Launay a écrit :
Le Wed, Sep 13, 2017 at 11:30:12AM +0200, Xavier ROCA a écrit:
N'étant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue. Quel type de certificat me conseillé vous, c'est une petite PME en BtoB. Vous avez un fournisseur préféré ?
S'ils ont pas de sous et juste un simple site, Let's Encrypt fait bien le boulot, mais il faut un peu d'huile de coude.
S'ils ont besoin d'un wildcard, les comodo achetés par exemple chez Namecheap font très bien le boulot, pour pas trop cher.
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
Le 13 septembre 2017 à 11:32, Arnaud Launay asl@launay.org a écrit :
S'ils ont pas de sous et juste un simple site, Let's Encrypt fait bien le boulot, mais il faut un peu d'huile de coude.
S'ils ont besoin d'un wildcard, les comodo achetés par exemple chez Namecheap font très bien le boulot, pour pas trop cher.
+1 pour Let's Encrypt, ça fait très bien le job.
Sinon le certif le moins cher de n'importe lequel des principaux CA (Comodo, RapidSSL, Thawte...) sera très bien aussi, si tu tiens absolument à payer pour ça.
Le Wed, Sep 13, 2017 at 11:30:12AM +0200, Xavier ROCA [x.roca@sipleo.com] a écrit:
Bonjour,
Nétant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue.
Quel type de certificat me conseillé vous, cest une petite PME en BtoB.
N'importe lequel tant que ca ne sort pas d'une CA blacklistee par les navigateurs :)
En dehors de ca, les differences que tu vas trouver dans les certificats c'est : - la methode de validation (EV / validation etendue, pour avoir une "barre verte" ; DV / validation sur le domaine ; etc.) - les garanties financieres (bien regarder ce que ca couvre, comme toute assurance) - les SAN multiples (plusieurs noms dans le meme certificat) - les wildcard ( *.domaine.fr ) - certificats +/- specifiques (RGS, etc.)
Un certificat "basique" avec validation par le domaine suffit tres probablement.
Salut,
On prend soit du Let's Encrypt soit chez https://www.tbs-certificats.com/ TBS est une boite normande qui revend plein de solutions différentes. Il y a des comparatifs entre les différentes solutions proposées et ils sont joignables par téléphone. Et... je n'ai pas d'actions chez eux. ;)
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's Encrypt ne vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc pas de relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire circuler les informations en clair sur le réseau et ne pas avoir des messages d'avertissement du navigateur, mais c'est tout.
Le 13/09/2017 à 11:30, Xavier ROCA a écrit :
Bonjour,
N’étant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue.
Quel type de certificat me conseillé vous, c’est une petite PME en BtoB.
Vous avez un fournisseur préféré ?
Je pensais a RapidSSL avec le basique mais est-ce adapter ? bien vu de la part des acheteurs qui font attention à ce genre de chose ?
Parce qu'ailleurs, sur les certificats "basique", il y a d'autres vérifications .. ?
On 13/09/2017 11:51, Artur wrote:
Salut,
On prend soit du Let's Encrypt soit chez https://www.tbs-certificats.com/ TBS est une boite normande qui revend plein de solutions différentes. Il y a des comparatifs entre les différentes solutions proposées et ils sont joignables par téléphone. Et... je n'ai pas d'actions chez eux. ;)
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's Encrypt ne vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc pas de relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire circuler les informations en clair sur le réseau et ne pas avoir des messages d'avertissement du navigateur, mais c'est tout.
Le 13/09/2017 à 11:30, Xavier ROCA a écrit :
Bonjour,
N’étant pas hyper habitué sur ce sujet surtout sur les web marchands pour conseiller un collègue.
Quel type de certificat me conseillé vous, c’est une petite PME en BtoB.
Vous avez un fournisseur préféré ?
Je pensais a RapidSSL avec le basique mais est-ce adapter ? bien vu de la part des acheteurs qui font attention à ce genre de chose ?
Liste de diffusion du FRsAG http://www.frsag.org/
Le Wed, Sep 13, 2017 at 11:56:07AM +0200, frsag@jack.fr.eu.org a écrit:
Parce qu'ailleurs, sur les certificats "basique", il y a d'autres vérifications .. ?
Non, sur le certificat de type DV, il n'y a pas non plus de vérification complémentaire. Ca valide juste que tu as suffisamment d'accès sur le nom de domaine pour faire créer un certificat.
Si tu veux monter en OV (dont l'intérêt réel m'échappe complètement) ou en EV (dont l'intérêt principal est la grosse barre verte pour l'utilisateur), il y a un peu plus de validation, mais LE ne le fait pas (pour le moment ?).
Après il y a aussi le certificat SSL gratuit proposé par Gandi quand le domaine est chez eux, pendant que j'y pense.
Dans l'absolu je n'ai rien contre TBS, ils font probablement le boulot correctement, mais ils ont des tarifs prohibitifs à mon sens, sauf si tu ne veux vraiment rien faire toi même. C'est un peu le concierge de grand hôtel pour le ssl ;-)
Arnaud.
Je paye un "Thawte SSL Wildcard" 399€/an alors qu'il est affiché à 539€ chez Thawte France. Si je peux avoir un service de luxe pour moins cher, je m'en prive pas. :D
Mais bon, je suppose que cela dépend des produits qu'on achète...
Le 13/09/2017 à 12:01, Arnaud Launay a écrit :
Dans l'absolu je n'ai rien contre TBS, ils font probablement le boulot correctement, mais ils ont des tarifs prohibitifs à mon sens, sauf si tu ne veux vraiment rien faire toi même. C'est un peu le concierge de grand hôtel pour le ssl ;-)
Le Wed, Sep 13, 2017 at 12:22:37PM +0200, Artur a écrit:
Je paye un "Thawte SSL Wildcard" 399€/an alors qu'il est affiché à 539€ chez Thawte France. Si je peux avoir un service de luxe pour moins cher, je m'en prive pas. :D
Ca ok, mais tu peux m'expliquer à quoi ça sert d'avoir un Thawte plutôt qu'un Comodo, affiché à 78,77€ ici: https://www.namecheap.com/security/ssl-certificates/comodo/positivessl-wildc...
J'ai pas d'actions chez eux hein, j'essaye juste de comprendre l'intérêt de payer plus cher pour la même chose ou presque -- techniquement, c'est pareil, le reste c'est la "garantie" -- je pense que jamais personne n'a réussi à faire fonctionner ce truc... Après, c'est ptet juste comme Cisco, personne ne s'est jamais fait virer pour avoir acheter du Thawte ? :-)
Arnaud.
Il faut comparer ce qui est comparable. Tu me montres un autre produit qui n'a rien à voir et tu me dis il est moins cher. Moi, je t'ai répondu que pour mon usage sur le MEME produit TBS est moins cher que Comodo.
Sur "ton" certificat il n'y a aucune vérification d'identité de celui qui demande la création du certificat en question. Dans mon cas, le propriétaire du domaine est identifié pour être sûr que le domaine lui appartient. La prestation n'est pas la même, le prix n'est pas le même, je ne vois pas vraiment de souci dans ce principe. Remarque, je n'ai pas parlé de garantie, on s'en fout un peu. En tout cas, dans le business, les clients sont parfois plus exigeants et peuvent demander des audits de sécurité aux fournisseurs pour s'assurer que leurs infrastructures sont sécurisées et qu'ils peuvent leur faire un minimum confiance.
Le 13/09/2017 à 13:00, Arnaud Launay a écrit :
Le Wed, Sep 13, 2017 at 12:22:37PM +0200, Artur a écrit:
Je paye un "Thawte SSL Wildcard" 399€/an alors qu'il est affiché à 539€ chez Thawte France. Si je peux avoir un service de luxe pour moins cher, je m'en prive pas. :D
Ca ok, mais tu peux m'expliquer à quoi ça sert d'avoir un Thawte plutôt qu'un Comodo, affiché à 78,77€ ici: https://www.namecheap.com/security/ssl-certificates/comodo/positivessl-wildc...
J'ai pas d'actions chez eux hein, j'essaye juste de comprendre l'intérêt de payer plus cher pour la même chose ou presque -- techniquement, c'est pareil, le reste c'est la "garantie" -- je pense que jamais personne n'a réussi à faire fonctionner ce truc... Après, c'est ptet juste comme Cisco, personne ne s'est jamais fait virer pour avoir acheter du Thawte ? :-)
Le Wed, Sep 13, 2017 at 02:17:04PM +0200, Artur a écrit:
Il faut comparer ce qui est comparable. Tu me montres un autre produit qui n'a rien à voir et tu me dis il est moins cher. Moi, je t'ai répondu que pour mon usage sur le MEME produit TBS est moins cher que Comodo.
Tu chipotes, mais OK :)
Donc si j'ai bien lu, on parle d'un certificat wildcard validé OV (et pas EV -- faut dire que la doc de Thawte est (probablement exprès) peu claire), donc si j'interprète bien, ça correspond à ça:
https://www.namecheap.com/security/ssl-certificates/comodo/premiumssl-wildca...
Sur "ton" certificat il n'y a aucune vérification d'identité de celui qui demande la création du certificat en question. Dans mon cas, le propriétaire du domaine est identifié pour être sûr que le domaine lui appartient. La prestation n'est pas la même, le prix n'est pas le même, je ne vois pas vraiment de souci dans ce principe.
Moi non plus, j'avais juste cru que c'était un DV basique, du coup effectivement on ne parlait pas de la même chose. Par contre, le certif au-dessus est toujours plus de deux fois moins cher, sous réserve que ce soit bien le même truc.
Après, si Thawte propose un EV wildcard, je l'ai pas trouvé sur leur site...
Encore une fois, je n'ai rien contre TBS, hein: tu les appelles, tu fais un devis, ils te demandent des papiers, et ils se démerdent pour la paperasse, c'est un service comme un autre pour lequel je peux parfaitement comprendre qu'on préfère payer plutôt que de passer 6h dans les méandres administratifs.
En tout cas, dans le business, les clients sont parfois plus exigeants et peuvent demander des audits de sécurité aux fournisseurs pour s'assurer que leurs infrastructures sont sécurisées et qu'ils peuvent leur faire un minimum confiance.
Techniquement, je ne vois toujours pas ce que ça change que ce soit du DV ou du EV. Le chiffrement sera identique, les risques aussi. Le seul truc qui change, c'est la barre verte du navigateur, et le fait que le fournisseur du ssl s'engage à avoir vérifié l'identité du demandeur (ce qui, on l'avouera, relève du pipotron à l'époque des échanges de pdf par mail qui sont modifiables sans difficulté...).
Sur le fond, je m'en fous: je vends pas de certifs ssl. Quand on me pose la question, si c'est purement technique, je leur dis d'aller vers le moins cher, et tout le monde est ravi.
Arnaud.
Le 13/09/2017 à 14:29, Arnaud Launay a écrit :
https://www.namecheap.com/security/ssl-certificates/comodo/premiumssl-wildca... Moi non plus, j'avais juste cru que c'était un DV basique, du coup effectivement on ne parlait pas de la même chose. Par contre, le certif au-dessus est toujours plus de deux fois moins cher, sous réserve que ce soit bien le même truc.
Je ne trouve pas une telle offre chez Comodo. Un certificat équivalent chez Comodo se chiffre autour de 400€. Du coup, c'est un peu le mystère... C'est quoi ce certificat, c'est le Canada Dry de Comodo Wildcard SSL ? :)
le fournisseur du ssl s'engage à avoir vérifié l'identité du demandeur (ce qui, on l'avouera, relève du pipotron à l'époque des échanges de pdf par mail qui sont modifiables sans difficulté...).
Sur le fond, je m'en fous: je vends pas de certifs ssl. Quand on me pose la question, si c'est purement technique, je leur dis d'aller vers le moins cher, et tout le monde est ravi.
La vérification ne se fait pas par email. En tout cas pas uniquement par email. Cela se traduit entre autres pas la consultation du registre de commerce, des annuaires, etc. On te passe même un coup de fil pour vérifier que la "bonne" personne est là au bon numéro. Ces vérifications sont plus ou moins poussées selon les cas.
Et prendre "le moins cher" ou mieux "gratuit", c'est un peu une maladie française (mais pas que, merci Gogol & Co). A force on tue le marché, on ne fait et on ne vend que du médiocre et on finit par s'étonner qu'on n'est plus compétitif. Pire, les gens ne savent plus ce qu'ils achètent et là justement ils se font avoir par le marketing de bas étages à paillettes. Il est important de comprendre ce que l'on achète et payer le juste prix selon la prestation.
A titre personnel, j'ai pris du LE gratuit et cela me va bien pour mon usage à moi. J'en ai pris pour le boulot quand on a besoin que ça passe pas en clair et que le cadenas rassure le passant.
Le Wed, Sep 13, 2017 at 03:00:22PM +0200, Artur a écrit:
Je ne trouve pas une telle offre chez Comodo. Un certificat équivalent chez Comodo se chiffre autour de 400€. Du coup, c'est un peu le mystère... C'est quoi ce certificat, c'est le Canada Dry de Comodo Wildcard SSL ? :)
https://comodosslstore.com/premiumssl-wildcard.aspx
Grosse promo sur le RRP visiblement ? :)
Ces vérifications sont plus ou moins poussées selon les cas.
Ca c'est sur le papier... Dans la vraie vie, je doute :) Mais si c'est le cas, tant mieux.
Et prendre "le moins cher" ou mieux "gratuit", c'est un peu une maladie française (mais pas que, merci Gogol & Co). A force on tue le marché, on ne fait et on ne vend que du médiocre et on finit par s'étonner qu'on n'est plus compétitif.
Non mais on parle de certif ssl là. Le but du certif ssl, c'est de chiffrer une connexion de bout en bout, donc que ce soit fait par truc à 10€ ou par machin à 100€, c'est la même chose quand même. J'ai du mal à trouver un exemple identique dans le monde réel d'ailleurs... On peut tenter un truc tiré par les cheveux: que ce soit avec un stylo bic à 10 centimes, ou un waterman à bille en or à 200€, pour écrire une ligne de texte -- mieux, pour mettre *une* signature en bas d'un document, c'est pareil. Pour écrire 300000 lignes, il y a des chances que le waterman soit quand même plus confortable.
A titre personnel, j'ai pris du LE gratuit et cela me va bien pour mon usage à moi. J'en ai pris pour le boulot quand on a besoin que ça passe pas en clair et que le cadenas rassure le passant.
Pour le perso et les mini sites de e-commerce, on utilise aussi du LE, et on en est très contents. Pour la boîte, on a pris le wildcard comodo de base, tout simplement parce qu'on a besoin de chiffrer les communications de dizaines de services différents (et pas que les vhosts, le mail, le mysql, etc), et que LE ne saurait pas nous les fournir (ou alors avec des contorsions telles qu'en temps humain, ce serait pas rentable).
Quoiqu'il en soit, tu auras du mal à me convaincre que du EV apporte un plus à qui que ce soit, à part la boîte qui le vend. Mais après si ça fait plaisir au décideur pressé (qui va également aller prendre du Cisco au prix public), grand bien lui fasse... Mais je préfère aller dépenser des sous là où ça se justifierait. Au prix du machin, je préfère inviter des gens au resto, ça fait plus plaisir et en plus ça reste local :-)
Arnaud.
Bonjour,
Ce que vous ecrivez est plus ou moins intéressant et part en derive.
Je commande régulièrement différents type de certificats via TBS. Comme vous l'avez dis ils facilitent les choses. Les vérifications sont réels et contraignantes sur certain type de certificat ou société ( sans standard téléphonique, non référencé en annuaire, ancienne adresse sur le Kbis et j'en passe...)
Bref, je conseille de visiter et lire (surtout le bas) des pages explicatives de chaque type de certificats sur le site de TBS directement.
Je n'ai pas d'action chez TBS et certains de nos clients utilisent également du let's encrypt, et moi pour mes trucs perso :)
Ronan Ducamp
Le 13 sept. 2017 16:03, "Arnaud Launay" asl@launay.org a écrit :
Le Wed, Sep 13, 2017 at 03:00:22PM +0200, Artur a écrit:
Je ne trouve pas une telle offre chez Comodo. Un certificat équivalent chez Comodo se chiffre autour de 400€. Du coup, c'est un peu le mystère... C'est quoi ce certificat, c'est le Canada Dry de Comodo Wildcard SSL ? :)
https://comodosslstore.com/premiumssl-wildcard.aspx
Grosse promo sur le RRP visiblement ? :)
Ces vérifications sont plus ou moins poussées selon les cas.
Ca c'est sur le papier... Dans la vraie vie, je doute :) Mais si c'est le cas, tant mieux.
Et prendre "le moins cher" ou mieux "gratuit", c'est un peu une maladie française (mais pas que, merci Gogol & Co). A force on tue le marché, on ne fait et on ne vend que du médiocre et on finit par s'étonner qu'on n'est plus compétitif.
Non mais on parle de certif ssl là. Le but du certif ssl, c'est de chiffrer une connexion de bout en bout, donc que ce soit fait par truc à 10€ ou par machin à 100€, c'est la même chose quand même. J'ai du mal à trouver un exemple identique dans le monde réel d'ailleurs... On peut tenter un truc tiré par les cheveux: que ce soit avec un stylo bic à 10 centimes, ou un waterman à bille en or à 200€, pour écrire une ligne de texte -- mieux, pour mettre *une* signature en bas d'un document, c'est pareil. Pour écrire 300000 lignes, il y a des chances que le waterman soit quand même plus confortable.
A titre personnel, j'ai pris du LE gratuit et cela me va bien pour mon usage à moi. J'en ai pris pour le boulot quand on a besoin que ça passe pas en clair et que le cadenas rassure le passant.
Pour le perso et les mini sites de e-commerce, on utilise aussi du LE, et on en est très contents. Pour la boîte, on a pris le wildcard comodo de base, tout simplement parce qu'on a besoin de chiffrer les communications de dizaines de services différents (et pas que les vhosts, le mail, le mysql, etc), et que LE ne saurait pas nous les fournir (ou alors avec des contorsions telles qu'en temps humain, ce serait pas rentable).
Quoiqu'il en soit, tu auras du mal à me convaincre que du EV apporte un plus à qui que ce soit, à part la boîte qui le vend. Mais après si ça fait plaisir au décideur pressé (qui va également aller prendre du Cisco au prix public), grand bien lui fasse... Mais je préfère aller dépenser des sous là où ça se justifierait. Au prix du machin, je préfère inviter des gens au resto, ça fait plus plaisir et en plus ça reste local :-)
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
Le 13 septembre 2017 à 15:57, Arnaud Launay asl@launay.org a écrit :
Non mais on parle de certif ssl là. Le but du certif ssl, c'est de chiffrer une connexion de bout en bout, donc que ce soit fait par truc à 10€ ou par machin à 100€, c'est la même chose quand même. J'ai du mal à trouver un exemple identique dans le monde réel d'ailleurs...
+1
Comme exemple, on pourrait prendre l'agent immobilier qui prend une commission de X % du prix de vente, alors que son travail est +/- identique que le bien coûte 100 000 ou 500 000 €. *sifflote*
Pour le perso et les mini sites de e-commerce, on utilise aussi du LE, et on en est très contents. Pour la boîte, on a pris le wildcard comodo de base, tout simplement parce qu'on a besoin de chiffrer les communications de dizaines de services différents (et pas que les vhosts, le mail, le mysql, etc), et que LE ne saurait pas nous les fournir (ou alors avec des contorsions telles qu'en temps humain, ce serait pas rentable).
Let's Encrypt va proposer du wildcard début 2018, pour info.
Quoiqu'il en soit, tu auras du mal à me convaincre que du EV apporte un plus à qui que ce soit, à part la boîte qui le vend. Mais après si ça fait plaisir au décideur pressé (qui va également aller prendre du Cisco au prix public), grand bien lui fasse...
Y'a un peu de ça. J'entends parfois "Mais on va quand même pas mettre un certificat gratuit sur les sites de nos clients !". Et quand je demande pourquoi, ben je n'ai jamais de réponse claire. ¯_(ツ)_/¯
Ce n'est qu'une question de temps AMHA. HTTPS est en train de devenir obligatoire, EV va disparaitre, beaucoup de CA aux pratiques +/- douteuses vont mourrir, et tout ira pour le mieux dans le meilleur des mondes. :)
J'ai peut-être raté une partie de l'échange mais il me semble qu'il a été rappelé que les certificats plus coûteux incluent généralement une garantie financière plus ou moins importante couvrant le client du site marchand en cas de faille dans le certificat. C'est donc une assurance, et comme toute assurance, on paie pour dans la majorité des cas ne jamais en avoir besoin, ce qui permet de rembourser les rares qui subissent le dommage. Après l'analogie avec l'assurance classique s'arrête là, car on peut se demander ce qui se passerait si un paquet de sites marchands utilisant le même certificat se font avoir en même temps à cause donc de la même faille….J'imagine qu'il y a des ré-assureurs derrière, mais ce cas là est-il prévu...
Donc concrètement, je ne sais pas comment ça se passe quand il y a sinistre(s) (si ça arrive…), mais au moins l'offre existe. C'est un peu comme si on pouvait acheter du support plus cher chez Cisco, donnant droit à un dédommagement si on se fait pirater son backbone à cause d'un trou de sécurité chez eux.
Le 14 sept. 2017 à 09:03, Jonathan Leroy a écrit :
Le 13 septembre 2017 à 15:57, Arnaud Launay asl@launay.org a écrit :
Non mais on parle de certif ssl là. Le but du certif ssl, c'est de chiffrer une connexion de bout en bout, donc que ce soit fait par truc à 10€ ou par machin à 100€, c'est la même chose quand même. J'ai du mal à trouver un exemple identique dans le monde réel d'ailleurs...
+1
Comme exemple, on pourrait prendre l'agent immobilier qui prend une commission de X % du prix de vente, alors que son travail est +/- identique que le bien coûte 100 000 ou 500 000 €. *sifflote*
Le 14 septembre 2017 à 09:28, David Ponzone david.ponzone@gmail.com a écrit :
J'ai peut-être raté une partie de l'échange mais il me semble qu'il a été rappelé que les certificats plus coûteux incluent généralement une garantie financière plus ou moins importante couvrant le client du site marchand en cas de faille dans le certificat. C'est donc une assurance, et comme toute assurance, on paie pour dans la majorité des cas ne jamais en avoir besoin, ce qui permet de rembourser les rares qui subissent le dommage.
Sauf que les contrats sont faits de telle façon que l'assurance ne s'applique jamais, car il te faut prouver que c'est une faille cryptographique dans le certificat qui a permis l'incident. Quasi-impossible dans la pratique.
Mais bon, admettons que tu as dans ta boîte un expert en crypto, qui arrive effectivement à prouver que le certificat contient une faille cryptographique.
Par exemple en découvrant une faille encore inconnue dans OpenSSL. Paf, le CA utilise une version d'OpenSSL impactée par cette faille et le certificat qu'il a généré contient effectivement une faille cryptographique. Tu arrives à prouver je ne sais pas trop comment que cette faille a été utilisée par des hackers pour voler les mots de passe de tes clients transitants sur le réseau. À toi le jackpot !!
Ah ben non. Parce qu'en fait il y a plein d'exclusions dans le contrat d'assurance, notamment les "circonstances exceptionnelles". Et le CA te dira qu'une faille d'OpenSSL qui touche des millions de serveurs ben c'est une circonstance exceptionnelle. Alors oui c'est discutable. Tu peux aller au tribunal pour toucher ton chèque mais ça va prendre des années.
À ma connaissance, aucune des principales AC n'a jamais indemnisé un client sur la base de l'assurance fournie avec le certificat. Ça m'a également été confirmé par un ex-employé d'une AC française : l'assurance n'a jamais indemnisée personne chez eux et tout est fait pour que ça n'arrive pas.
Merci pour le retour, je m'en doutais un peu à vrai dire, le risque serait trop grand pour eux. C'est un peu comme une mutuelle aux USA quoi :)
Et bien donc, effectivement, autant prendre un certificat LE. Je n'ai personnellement pas encore franchi le cap, par flemme et à cause des cas spéciaux qu'il va falloir gérer (machines sur lesquelles les outils de renouvellement automatique ne vont pas marcher), mais ça va pas tarder.
Le 14 sept. 2017 à 10:19, Jonathan Leroy a écrit :
Le 14 septembre 2017 à 09:28, David Ponzone david.ponzone@gmail.com a écrit :
J'ai peut-être raté une partie de l'échange mais il me semble qu'il a été rappelé que les certificats plus coûteux incluent généralement une garantie financière plus ou moins importante couvrant le client du site marchand en cas de faille dans le certificat. C'est donc une assurance, et comme toute assurance, on paie pour dans la majorité des cas ne jamais en avoir besoin, ce qui permet de rembourser les rares qui subissent le dommage.
Sauf que les contrats sont faits de telle façon que l'assurance ne s'applique jamais, car il te faut prouver que c'est une faille cryptographique dans le certificat qui a permis l'incident. Quasi-impossible dans la pratique.
Mais bon, admettons que tu as dans ta boîte un expert en crypto, qui arrive effectivement à prouver que le certificat contient une faille cryptographique.
Par exemple en découvrant une faille encore inconnue dans OpenSSL. Paf, le CA utilise une version d'OpenSSL impactée par cette faille et le certificat qu'il a généré contient effectivement une faille cryptographique. Tu arrives à prouver je ne sais pas trop comment que cette faille a été utilisée par des hackers pour voler les mots de passe de tes clients transitants sur le réseau. À toi le jackpot !!
Ah ben non. Parce qu'en fait il y a plein d'exclusions dans le contrat d'assurance, notamment les "circonstances exceptionnelles". Et le CA te dira qu'une faille d'OpenSSL qui touche des millions de serveurs ben c'est une circonstance exceptionnelle. Alors oui c'est discutable. Tu peux aller au tribunal pour toucher ton chèque mais ça va prendre des années.
À ma connaissance, aucune des principales AC n'a jamais indemnisé un client sur la base de l'assurance fournie avec le certificat. Ça m'a également été confirmé par un ex-employé d'une AC française : l'assurance n'a jamais indemnisée personne chez eux et tout est fait pour que ça n'arrive pas.
-- Jonathan Leroy.
Je rejoins ceux qui disent qu'un certificat payant est identique en service rendu à Letsencrypt.
De mon côté je préviens néanmoins les clients d'une chose peut importe l'autorité de certification.
Quand une autorité émet un certificat illégitime elle se fait radier des navigateurs pour la partie web et des certificats racines des OS.
On a déjà vu arriver cela à des autorités payantes avec des gars qui je suppose, savent la sanction qui arriverait s'ils développaient mal leurs API ou parcours achat.
Letsencrypt aussi génial que c'est, permet de tester en illimité ou presque le processus de validation. Je n'espère pas mais je pense néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un trouvera une faille et émettra des certificats gmail.com et consorts. Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés d'être exemplaires et d'appliquer la même sanction à savoir retirer l'autorité dans les nav et les OS.
Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par contre il y a un risque à mon sens un peu plus élevé que cette autorité soit bannie du jour au lendemain. On sera là pour acheter des certificats ailleurs mais on aura pas mal de taf en quelques heures pour tous les remplacer ...
En toute logique aussi, une grosse autorité attire aussi la volonté de certains de la faire tomber. Plus c'est gros plus c'est visible, médiatiquement un pirate qui fait tomber Letsencrypt aura fait un beau coup.
Et le jour où ça arrive j'espère qu'il restera encore quelques autorités sans tarifs abusifs. Eux par contre attendent que cela, ssl obligatoire partout, tout le monde l'adopte avec Letsencrypt, ça tombe les gens ne peuvent revenir en arrière, obligé d'acheter ... Pourvu que cela n'arrive pas.
Le 2017-09-14 12:42, Wallace a écrit :
Je rejoins ceux qui disent qu'un certificat payant est identique en service rendu à Letsencrypt.
De mon côté je préviens néanmoins les clients d'une chose peut importe l'autorité de certification.
Quand une autorité émet un certificat illégitime elle se fait radier des navigateurs pour la partie web et des certificats racines des OS.
On a déjà vu arriver cela à des autorités payantes avec des gars qui je suppose, savent la sanction qui arriverait s'ils développaient mal leurs API ou parcours achat.
Letsencrypt aussi génial que c'est, permet de tester en illimité ou presque le processus de validation. Je n'espère pas mais je pense néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un trouvera une faille et émettra des certificats gmail.com et consorts. Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés d'être exemplaires et d'appliquer la même sanction à savoir retirer l'autorité dans les nav et les OS.
Alors, je pense que justement ce ne sera pas le cas. Les CA à qui s'est arrivé n'ont pas eu de problème technique. Elles ont volontairement tricher, et elles ont encore plus tricher quand elles été prise sur le fait (coucou Wosign). Alors, c'est bien sûr difficile de prévoir le futur, mais on peut imaginer que s'il y a une faille, elle soit traité correctement du côté de Let's encrypt, ce qui veut dire que les navigateurs ne la banniront.
Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par contre il y a un risque à mon sens un peu plus élevé que cette autorité soit bannie du jour au lendemain. On sera là pour acheter des certificats ailleurs mais on aura pas mal de taf en quelques heures pour tous les remplacer ...
Pour Wosign, la sanction n'a pas été immédiate, il a fallu des discussions (au moins en partie publique chez Mozilla). Tout les clients de la CA ont eu des mois pour se tourner vers une CA en voyant le cap que prenaient les discussions. Je pense qu'on aura le temps de voir venir à ce moment là.
Le 14 septembre 2017 à 12:42, Wallace wallace@morkitu.org a écrit :
Quand une autorité émet un certificat illégitime elle se fait radier des navigateurs pour la partie web et des certificats racines des OS.
On a déjà vu arriver cela à des autorités payantes avec des gars qui je suppose, savent la sanction qui arriverait s'ils développaient mal leurs API ou parcours achat.
Alors, sauf cas particulier où l'AC appartient à un état qui l'utilise pour du MITM et autres activités pas très claires (c.f. l'Iran et gmail.com), ça ne se passe pas comme ça.
Les cas de radiation des AC sont prises suites à des manquements *répétés* aux règles du CA/Browser forum ainsi qu'à l'absence de déclaration de ces incidents par l'AC aux navigateurs, ou en cas de réponses jugées non satisfaisantes aux questions de la communauté suite à ces incidents.
D'ailleurs à peu près toutes les grosses AC ont au moins une fois émis un certificat qui n'aurait pas du l'être.
Par exemple, pour la dernière AC révoquée (StartCom / WoSign), les fautes ont été commises de façon répétés et en quantités industrielles : https://wiki.mozilla.org/CA:WoSign_Issues
Même après ça, pour avoir un peu suivi les discutions, les sanctions auraient pu êtres bien plus légères qu'une révocation si WoSign avait apportée des réponses satisfaisantes à la communauté. Malheureusement les réponses ont été manquantes ou contradictoires, et chaque réponse à soulevée encore plus de questions quand à la gestion de l'AC.
Pour Mozilla / NSS, les discutions sont publiques et se passent sur le newsgroup mozilla.dev.security.policy. Y participent également la team Google Chrome ainsi quelques employés d'Apple. Bien que ça ne soit pas officiel, les décisions de l'équipe Google Chrome sont largement basées sur la conclusion de ses discutions publiques avec la communauté. En revanche, côté Microsoft et Apple, les décisions sont prises en interne.
Là encore, malgré les lourdes fautes qui avaient été commises, il a été décidé de blacklister de façon très progressive les certificats StartCom plutôt que de façon sèche, car cette AC était énormément utilisée, étant une des seules à proposer des certificats gratuits avant l'arrivée de LE.
Letsencrypt aussi génial que c'est, permet de tester en illimité ou presque le processus de validation. Je n'espère pas mais je pense néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un trouvera une faille et émettra des certificats gmail.com et consorts.
L'avantage de LE, c'est qu'il n'y a pas d'employés. Donc pas d'humains qui peuvent faire des erreurs de validation.
Leur API est basée sur le protocole ACME qui est conçu par un workgroup de l'IETF, donc je te laisse imaginer les discutions interminables sur des points de détails. :)
Alors après bien sûr, on est jamais à l'abris d'un bug dans la validation, mais c'est quand même compliqué étant donné que le code de la partie serveur se trouve sur GitHub, que le protocole a été discuté pendant des mois à l'IETF, et qu'il y a une infra de pré-prod qui permet à tous de tester les modifs avant leur passage en live.
L'autre gros avantage de Let's Encrypt, c'est qu'il n'y a pas de top management qui ne comprend rien et veut juste vendre le plus de certificats possible quitte à contourner les règles. C'est un gros problème chez Symantec (avant le rachat de sa branche SSL par l'excellent DigiCert) et Comodo notamment, où les techs sont très compétents mais où le management est complètement à côté de la plaque. Mais ça ce n'est pas spécifique aux AC. ;)
Le 13 septembre 2017 à 12:01, Arnaud Launay asl@launay.org a écrit :
Si tu veux monter en OV (dont l'intérêt réel m'échappe complètement) ou en EV (dont l'intérêt principal est la grosse barre verte pour l'utilisateur), il y a un peu plus de validation, mais LE ne le fait pas (pour le moment ?).
Let's Encrypt ne le fait pas, et ne le fera jamais pour une bonne raison (parmi d'autres) : l'utilisateur lambda ne fait pas la différence entre un certificat SSL DV et EV. Notamment parce qu'on lui a longtemps appris que "si y'a un cadenas, c'est bon".
Plusieurs études sérieuses (de Google notamment) l'ont montré. D'ailleurs le passage d'une boutique d'un certificat DV/OV à EV n'a aucun impact sur le chiffre d'affaire de celle-ci.
Le 13 septembre 2017 à 12:13, Artur frsag@pydo.org a écrit :
Si on veut faire du commerce, à mon avis, on prend pas un certificat basique. C'est pas fait pour ça.
Y'a pas de certificat "basique". Cryptographiquement parlant, un certificat DV/OV/EV c'est la même chose. Ce qui change c'est l'emballage marketing, et du coup le prix.
LE ne fera jamais gratuitement quelque chose qui nécessite du temps humain et qui ne peut pas être automatisé.
Et ce n'est pas parce que Mme Michu ne comprend rien à Internet qu'on doit tout niveler par le bas. A ce que je sache il n'y a pas que des Mme Michu qui utilisent Internet.
Mme Michu aurait pu écrire ton dernier paragraphe, d'ailleurs. :) La différence entre les différents certificats consiste essentiellement dans les vérifications qui sont faites avant que celui-ci ne soit fabriqué/délivré... ou pas. C'est du temps passé et ça a un cout, oui. De toute manière ce n'est pas un sysadmin qui doit choisir quoi mettre comme certificat, c'est celui qui est responsable d'une plateforme d'e-commerce selon ses propres préoccupations et celles de ses clients.
Le 13/09/2017 à 12:50, Jonathan Leroy a écrit :
Let's Encrypt ne le fait pas, et ne le fera jamais pour une bonne raison (parmi d'autres) : l'utilisateur lambda ne fait pas la différence entre un certificat SSL DV et EV. Notamment parce qu'on lui a longtemps appris que "si y'a un cadenas, c'est bon". Y'a pas de certificat "basique". Cryptographiquement parlant, un certificat DV/OV/EV c'est la même chose. Ce qui change c'est l'emballage marketing, et du coup le prix.
Le 13 septembre 2017 à 14:36, Artur frsag@pydo.org a écrit :
LE ne fera jamais gratuitement quelque chose qui nécessite du temps humain et qui ne peut pas être automatisé.
Aussi. C'est pour ça que j'ai mis "(parmi d'autres)".
Et ce n'est pas parce que Mme Michu ne comprend rien à Internet qu'on doit tout niveler par le bas. A ce que je sache il n'y a pas que des Mme Michu qui utilisent Internet.
L'EV a été crée pour le grand public justement. Les techs, eux, peuvent aller farfouiller dans les menus de leur navigateur pour vérifier les données du certificat.
Le problème est que le but n'est pas atteint, puisque les gens lambda ne font pas la différence entre EV et non-EV. Donc ça ne sert à rien. D'où sa disparition prochaine de Chrome.
Mme Michu aurait pu écrire ton dernier paragraphe, d'ailleurs. :) La différence entre les différents certificats consiste essentiellement dans les vérifications qui sont faites avant que celui-ci ne soit fabriqué/délivré... ou pas. C'est du temps passé et ça a un cout, oui. De toute manière ce n'est pas un sysadmin qui doit choisir quoi mettre comme certificat, c'est celui qui est responsable d'une plateforme d'e-commerce selon ses propres préoccupations et celles de ses clients.
On est bien d'accord sur le fait que la validation humaine prends du temps et coûte donc de l'argent, qui justifie donc le coût d'un certificat OV/EV sur le papier.
Ce que je dis, c'est que SSL n'est pas fait pour ça. Un certificat sert à sécuriser une connexion, pas à certifier l'identité de la personne au bout du fil. Donc vendre des certificats OV/EV, ça n'a aucun sens dans 99 % des cas. Mais c'est pourtant ce qui est mis en avant par la plupart des CA, car c'est ce qui leur rapporte le plus. À grand coups de bullshit marketing, donc.
Et je ne parle même pas des "assurances" dont personne n'a jamais vu la couleur. En gros pour toucher le pactole en cas de hack, il te faut prouver que c'est une faille cryptographique dans le certificat qui l'a permis. Cas hautement improbable et dans tous les cas impossible à prouver.
Le 13/09/2017 à 14:50, Jonathan Leroy a écrit :
Le problème est que le but n'est pas atteint, puisque les gens lambda ne font pas la différence entre EV et non-EV. Donc ça ne sert à rien.
Ce n'est pas parce que le but n'est pas atteint qu'il faut dire que ça ne sert à rien. De mon point de vue, il faudrait plutôt insister sur l'éducation des gens que de considérer qu'ils ne comprennent rien et qu'ils ne comprendront jamais rien.
Le 13 septembre 2017 à 15:13, Artur frsag@pydo.org a écrit :
Ce n'est pas parce que le but n'est pas atteint qu'il faut dire que ça ne sert à rien.
Ah ?
De mon point de vue, il faudrait plutôt insister sur l'éducation des gens que de considérer qu'ils ne comprennent rien et qu'ils ne comprendront jamais rien.
Sauf que la sécurité en IT ne fonctionne pas comme ça. Il faut que ça soit assez intuitif pour que ça fonctionne "out of the box" comme on dit. On parle de millions (pour ne pas dire milliards) de personnes là. Si on est obligés de former toutes les tata Simone du monde à comprendre l'interface parce qu'elles ne la comprennent pas d'elles-même, c'est que l'interface a un problème.
Dans ce cas => Next. On passe à autre chose et on cherche d'autres solutions plutôt que de s'obstiner sur quelque chose qui ne fonctionne pas. C'est ce qui est en train d'être fait avec l'EV et c'est très bien.
Pour les gens que ces sujets intéressent, je vous conseille de suivre Ryan Sleevi (@sleevi_) et Adrienne Porter Felt (@__apf__) sur Twitter. Ce sont deux dev de Google Chrome qui bossent sur ces sujets et expliquent régulièrement pourquoi tel ou tel choix a été fait dans Chrome. C'est souvent très intéressant.
Le 13 septembre 2017 à 11:51, Artur frsag@pydo.org a écrit :
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's Encrypt ne vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc pas de relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire circuler les informations en clair sur le réseau et ne pas avoir des messages d'avertissement du navigateur, mais c'est tout.
Let's Encrypt applique les règles du CA/Browsers Forum, comme tous les CA. Donc tu peux acheter un certificat DV ou tu veux, la procédure de validation sera toujours la même.
Le reste c'est du FUD :)
Après il existe des certificat OV et EV, mais soyons clair : c'est du bullshit. Même si l'identité du client est vérifiée lors de l'achat du certificat, ça ne prouve en *rien* que ton navigateur dialogue bien avec l'entité en question. Leurs serveurs peuvent avoir été piratés, par exemple.
Bref, le SSL sécurise la connexion entre un navigateur et un serveur, point. Le reste c'est du bullshit marketing. D'ailleurs Google ne va pas tarder à tuer l'EV ("la barre verte") dans Chrome et je m'en réjouis. :)
Le 13/09/2017 à 12:43, Jonathan Leroy a écrit :
Bref, le SSL sécurise la connexion entre un navigateur et un serveur, point. Le reste c'est du bullshit marketing. D'ailleurs Google ne va pas tarder à tuer l'EV ("la barre verte") dans Chrome et je m'en réjouis. :)
Une source ? Je ne trouve rien.
Julien
Le 13 septembre 2017 à 14:56, Julien Escario escario@azylog.net a écrit :
Le 13/09/2017 à 12:43, Jonathan Leroy a écrit :
Bref, le SSL sécurise la connexion entre un navigateur et un serveur, point. Le reste c'est du bullshit marketing. D'ailleurs Google ne va pas tarder à tuer l'EV ("la barre verte") dans Chrome et je m'en réjouis. :)
Une source ? Je ne trouve rien.
Le compte Twitter de Ryan Sleevi (@sleevi_) qui s'occupe de l'a partie crypto de Chrome. Par contre je n'ai pas les liens de tweets en question. Il faudrait que je cherche.
Note que c'est déjà le cas sous Chrome Android, qui gère EV comme un certificat OV classique (pas de barre verte).
Le 2017-09-13 12:43, Jonathan Leroy a écrit :
Le 13 septembre 2017 à 11:51, Artur frsag@pydo.org a écrit :
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's Encrypt ne vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc pas de relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire circuler les informations en clair sur le réseau et ne pas avoir des messages d'avertissement du navigateur, mais c'est tout.
Let's Encrypt applique les règles du CA/Browsers Forum, comme tous les CA. Donc tu peux acheter un certificat DV ou tu veux, la procédure de validation sera toujours la même.
Le reste c'est du FUD :)
Après il existe des certificat OV et EV, mais soyons clair : c'est du bullshit. Même si l'identité du client est vérifiée lors de l'achat du certificat, ça ne prouve en *rien* que ton navigateur dialogue bien avec l'entité en question. Leurs serveurs peuvent avoir été piratés, par exemple.
Il semblerait que la vérification au niveau EV est assez light https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-eu...
-
Arnaud Launay -
Artur -
Bouteillier Nicolas -
David Ponzone -
Dominique Rousseau -
frsag@jack.fr.eu.org -
Jonathan Leroy -
Julien Escario -
Ronan Ducamp -
Wallace -
Xavier Claude -
Xavier ROCA