Bonjour,
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Bonjour,
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Bonjour,
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Bonsoir,
On Wed, 12 Jan 2005, DAPL wrote:Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
Tout ça coûte cher.
Bonsoir,
On Wed, 12 Jan 2005, DAPL wrote:
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
Tout ça coûte cher.
Bonsoir,
On Wed, 12 Jan 2005, DAPL wrote:Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
Tout ça coûte cher.
Erwann ABALEA wrote:On Wed, 12 Jan 2005, DAPL wrote:Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
simple certificat utilisateur à quelques dizaines d'euros (justement une
telle infrastructure coûte cher et un certificat utilisateur n'est pas
suffisamment rentable). Pour un certificat serveur à 200 ou 300 euros je
veux cependant bien le croire.
Pff, le marketing est encore passé par là.
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Ce certificat lui permettait de signer ses programmes au nom de Microsoft,
nom apparaissant lors de l'installation du logiciel en question (<<
faites-vous confiance aux programmes provenant de Microsoft ? >>).
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ? A part la date d'expiration et
encore.
Erwann ABALEA wrote:
On Wed, 12 Jan 2005, DAPL wrote:
Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
simple certificat utilisateur à quelques dizaines d'euros (justement une
telle infrastructure coûte cher et un certificat utilisateur n'est pas
suffisamment rentable). Pour un certificat serveur à 200 ou 300 euros je
veux cependant bien le croire.
Pff, le marketing est encore passé par là.
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Ce certificat lui permettait de signer ses programmes au nom de Microsoft,
nom apparaissant lors de l'installation du logiciel en question (<<
faites-vous confiance aux programmes provenant de Microsoft ? >>).
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ? A part la date d'expiration et
encore.
Erwann ABALEA wrote:On Wed, 12 Jan 2005, DAPL wrote:Je voudrais savoir la différence entre un certificat SSL généré par un
serveur Linux interne (donc avec l'identité de la société) et ceux
fournis (cher !) par des sociétés comme Thawte. Est-ce dû au simple
fait que l'autorité de certification est connue et donc intégrée à la
plupart des navigateurs ?
Entre autres. Il y a aussi:
- l'utilisation de ressources cryptographiques évaluées
- une plate forme de production: backups, disaster recovery off-site, ...
- des règles de sécurité physique et logique stricte (je le sais)
Je doute que nous en soyons réellement à ce niveau de sécurité pour un
simple certificat utilisateur à quelques dizaines d'euros (justement une
telle infrastructure coûte cher et un certificat utilisateur n'est pas
suffisamment rentable). Pour un certificat serveur à 200 ou 300 euros je
veux cependant bien le croire.
Pff, le marketing est encore passé par là.
- des vérifications effectuées pour te délivrer un certificat (non, ça ne
consiste pas seulement à vérifier que ton compte est approvisionné)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Ce certificat lui permettait de signer ses programmes au nom de Microsoft,
nom apparaissant lors de l'installation du logiciel en question (<<
faites-vous confiance aux programmes provenant de Microsoft ? >>).
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ? A part la date d'expiration et
encore.
faites-vous confiance aux programmes provenant de Microsoft ?
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ?
faites-vous confiance aux programmes provenant de Microsoft ?
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ?
faites-vous confiance aux programmes provenant de Microsoft ?
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui vérifie
la validité d'un certificat de nos jours ?
Pff, le marketing est encore passé par là.
Non.
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Ce certificat lui permettait de signer ses programmes au nom de
Microsoft, nom apparaissant lors de l'installation du logiciel en
question (<< faites-vous confiance aux programmes provenant de
Microsoft ? >>).
Oui. Mais pendant un an seulement.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Pff, le marketing est encore passé par là.
Non.
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Ce certificat lui permettait de signer ses programmes au nom de
Microsoft, nom apparaissant lors de l'installation du logiciel en
question (<< faites-vous confiance aux programmes provenant de
Microsoft ? >>).
Oui. Mais pendant un an seulement.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Pff, le marketing est encore passé par là.
Non.
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ben voyons, on s'en est bien rendu compte, en 2001, lorsque Verisign a
attribué un certificat au nom de Microsoft à un simple développeur (ne
travaillant pas chez Microosft). ;-)
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Ce certificat lui permettait de signer ses programmes au nom de
Microsoft, nom apparaissant lors de l'installation du logiciel en
question (<< faites-vous confiance aux programmes provenant de
Microsoft ? >>).
Oui. Mais pendant un an seulement.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Pff, le marketing est encore passé par là.
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais bien
aux développeurs de logiciel.
Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge pas
la liste noire des cartes bancaires?
Non mais je l'aurais extrêmement mauvaise de constater que j'ai payé ce
Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est ignorée?
Si vous ne configurez pas vos logiciels pour valider un certificat par
rapport à la CRL de son AC, c'est purement et simplement votre problème.
Pas forcément c'est un pb d'usage également,
Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Pff, le marketing est encore passé par là.
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais bien
aux développeurs de logiciel.
Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge pas
la liste noire des cartes bancaires?
Non mais je l'aurais extrêmement mauvaise de constater que j'ai payé ce
Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est ignorée?
Si vous ne configurez pas vos logiciels pour valider un certificat par
rapport à la CRL de son AC, c'est purement et simplement votre problème.
Pas forcément c'est un pb d'usage également,
Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Pff, le marketing est encore passé par là.
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais bien
aux développeurs de logiciel.
Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge pas
la liste noire des cartes bancaires?
Non mais je l'aurais extrêmement mauvaise de constater que j'ai payé ce
Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est ignorée?
Si vous ne configurez pas vos logiciels pour valider un certificat par
rapport à la CRL de son AC, c'est purement et simplement votre problème.
Pas forcément c'est un pb d'usage également,
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
"Patrick Mevzek" wrote in message
news:Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
"Patrick Mevzek" <pm-N200501@nospam.dotandco.com> wrote in message
news:pan.2005.01.13.14.06.47.36282.18513@nospam.dotandco.com
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
"Patrick Mevzek" wrote in message
news:Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
