souhaitant avoir une signature électronique juridiquement valable, j'ai
regardé différentes offres.
En allant que le site de Certinomis, je vois qu'ils demandent de charger
leur certificat racine.
Mais comment sont reconnus ces root ? Parce que si un client reçoit un
faux root, qu'il l'inclus gentillement dans son Outlook préféré, le
faussaire en question pourra envoyer des messages signés de n'importe qui ?
Bon, bref ce n'est pas très clair pour moi.
L'offre de Certigreffe semble très correct (en terme de prix) mais
est-elle valable (je ne sais pas trop ce que j'entends par valable...) ?
(déjà, c'est nettement moins mercantile !)
Et, plus généralement, comment font les organismes mondiaux comme
Verisign pour vérifier réellement l'identité de leurs clients ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Arnaud W.
Bonjour,
Je ne connais pas l'autorité de certification "certigreffe", ni sa valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur ou une messagerie, authentifier (i.e. ajouter) comme étant "de confiance" un certificat dont on est pas parfaitement sûr : 1) de la la valeur comme autorité officiellement et unaniment reconnue. 2) de l'origine (un site web peut être contrefait).
Dans Firefox 1.0, comme dans IE6.0 (en standard), Certinomis n'est pas reconnue comme autorité de certification racine (il y a Certisign ou encore Certiposte)....prudence donc.
D'autre part, pour répondre à la dernière question, Verisign et les autres peuvent délivrer des certificats avec différents niveaux de confiances (classes 1 à 3, 1 étant le plus faible, 3 garantissant une vérification physique de l'identité, valable au tribunal).
Quelques infos complémentaires glanées sur le web : http://www.securite.teamlog.com/publication/9/19/24/131/
Arnaud W. http://awr.free.fr
Bonjour,
Je ne connais pas l'autorité de certification "certigreffe", ni sa
valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur
ou une messagerie, authentifier (i.e. ajouter) comme étant "de
confiance" un certificat dont on est pas parfaitement sûr :
1) de la la valeur comme autorité officiellement et unaniment
reconnue.
2) de l'origine (un site web peut être contrefait).
Dans Firefox 1.0, comme dans IE6.0 (en standard), Certinomis n'est pas
reconnue comme autorité de certification racine (il y a Certisign ou
encore Certiposte)....prudence donc.
D'autre part, pour répondre à la dernière question, Verisign et les
autres peuvent délivrer des certificats avec différents niveaux de
confiances (classes 1 à 3, 1 étant le plus faible, 3 garantissant une
vérification physique de l'identité, valable au tribunal).
Quelques infos complémentaires glanées sur le web :
http://www.securite.teamlog.com/publication/9/19/24/131/
Je ne connais pas l'autorité de certification "certigreffe", ni sa valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur ou une messagerie, authentifier (i.e. ajouter) comme étant "de confiance" un certificat dont on est pas parfaitement sûr : 1) de la la valeur comme autorité officiellement et unaniment reconnue. 2) de l'origine (un site web peut être contrefait).
Dans Firefox 1.0, comme dans IE6.0 (en standard), Certinomis n'est pas reconnue comme autorité de certification racine (il y a Certisign ou encore Certiposte)....prudence donc.
D'autre part, pour répondre à la dernière question, Verisign et les autres peuvent délivrer des certificats avec différents niveaux de confiances (classes 1 à 3, 1 étant le plus faible, 3 garantissant une vérification physique de l'identité, valable au tribunal).
Quelques infos complémentaires glanées sur le web : http://www.securite.teamlog.com/publication/9/19/24/131/
Arnaud W. http://awr.free.fr
Arnaud W.
Oui, si l'on est complètement parano.
Mais pas si on a confiance dans le navigateur et la messagerie utilisé. Il faut bien faire confiance à quelqu'un (une autorité de certification) ou quelque chose (les algorithmes cryptographiques) si l'on veut utiliser la cryptographie sous une forme ou une autre. Reste à définir le niveau de cette confiance, et c'est à chacun de l'estimer.
Rien n'empêche effectivement d'enlever les autoritées de certification (CA) pré-installées si on ne les (re)connait pas et de n'en mettre qu'une, mais de nombreux sites sécurisés (HTTPS ou autres) ne seront plus accessibles.
Les deux critères restent donc les mêmes que ceux cités plus haut.
Arnaud W. http://awr.free.fr
Oui, si l'on est complètement parano.
Mais pas si on a confiance dans le navigateur et la messagerie
utilisé. Il faut bien faire confiance à quelqu'un (une autorité de
certification) ou quelque chose (les algorithmes cryptographiques) si
l'on veut utiliser la cryptographie sous une forme ou une autre. Reste
à définir le niveau de cette confiance, et c'est à chacun de
l'estimer.
Rien n'empêche effectivement d'enlever les autoritées de
certification (CA) pré-installées si on ne les (re)connait pas et de
n'en mettre qu'une, mais de nombreux sites sécurisés (HTTPS ou
autres) ne seront plus accessibles.
Les deux critères restent donc les mêmes que ceux cités plus haut.
Mais pas si on a confiance dans le navigateur et la messagerie utilisé. Il faut bien faire confiance à quelqu'un (une autorité de certification) ou quelque chose (les algorithmes cryptographiques) si l'on veut utiliser la cryptographie sous une forme ou une autre. Reste à définir le niveau de cette confiance, et c'est à chacun de l'estimer.
Rien n'empêche effectivement d'enlever les autoritées de certification (CA) pré-installées si on ne les (re)connait pas et de n'en mettre qu'une, mais de nombreux sites sécurisés (HTTPS ou autres) ne seront plus accessibles.
Les deux critères restent donc les mêmes que ceux cités plus haut.
Arnaud W. http://awr.free.fr
Olivier Masson
Bonjour,
Je ne connais pas l'autorité de certification "certigreffe", ni sa valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur ou une messagerie, authentifier (i.e. ajouter) comme étant "de confiance" un certificat dont on est pas parfaitement sûr : 1) de la la valeur comme autorité officiellement et unaniment reconnue. 2) de l'origine (un site web peut être contrefait).
Certigreffe est tout à fait officiel puisqu'il s'agit des certificats distribués par le greffe des tribunaux de commerce (pour signer les mail). Donc pour ça, pas de problème, mais ce qui est couillon, c'est que les personnes recevant des messages signés ainsi doivent, si j'ai bien compris, ajouter l'autorité ; donc il me semble que ça perd de son intérêt.
Mais d'un autre côté, sur thunderbird je n'ai aucune autorité française, ce qui n'est pas très juste.
Bonjour,
Je ne connais pas l'autorité de certification "certigreffe", ni sa
valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur
ou une messagerie, authentifier (i.e. ajouter) comme étant "de
confiance" un certificat dont on est pas parfaitement sûr :
1) de la la valeur comme autorité officiellement et unaniment
reconnue.
2) de l'origine (un site web peut être contrefait).
Certigreffe est tout à fait officiel puisqu'il s'agit des certificats
distribués par le greffe des tribunaux de commerce (pour signer les
mail). Donc pour ça, pas de problème, mais ce qui est couillon, c'est
que les personnes recevant des messages signés ainsi doivent, si j'ai
bien compris, ajouter l'autorité ; donc il me semble que ça perd de son
intérêt.
Mais d'un autre côté, sur thunderbird je n'ai aucune autorité française,
ce qui n'est pas très juste.
Je ne connais pas l'autorité de certification "certigreffe", ni sa valeur, mais une chose est sûr : il ne faut jamais, dans un navigateur ou une messagerie, authentifier (i.e. ajouter) comme étant "de confiance" un certificat dont on est pas parfaitement sûr : 1) de la la valeur comme autorité officiellement et unaniment reconnue. 2) de l'origine (un site web peut être contrefait).
Certigreffe est tout à fait officiel puisqu'il s'agit des certificats distribués par le greffe des tribunaux de commerce (pour signer les mail). Donc pour ça, pas de problème, mais ce qui est couillon, c'est que les personnes recevant des messages signés ainsi doivent, si j'ai bien compris, ajouter l'autorité ; donc il me semble que ça perd de son intérêt.
Mais d'un autre côté, sur thunderbird je n'ai aucune autorité française, ce qui n'est pas très juste.
erwann
In article <42d3f8e7$0$19848$, Olivier Masson wrote:
Mais d'un autre côté, sur thunderbird je n'ai aucune autorité française, ce qui n'est pas très juste.
Patience, ça va viendre...
-- Erwann Abalea , RSA PGP Key Id: 0x2D0EABD5 En vacances... --- No one test the depth of a river with both feet.
In article <42d3f8e7$0$19848$626a14ce@news.free.fr>,
Olivier Masson <sisemen_bouchon_@laposte.net> wrote:
Mais d'un autre côté, sur thunderbird je n'ai aucune autorité française,
ce qui n'est pas très juste.
Patience, ça va viendre...
--
Erwann Abalea <erwann@abalea.com>, RSA PGP Key Id: 0x2D0EABD5
En vacances...
---
No one test the depth of a river with both feet.
