Le Sun, 10 Jul 2005 22:56:25 +0000, Patrick a écrit :
Bonjour,
J'ai un site Web accessible en https (dans mon LAN). J'ai remarque que le certificat SSL de ce site est expire
Je sais comment le renouveler mais j'ai la flemme de le faire .
C'est "mal".
Question: en terme de securite des certifs SSL , est-ce qu'il ya une difference maintenant par rapport a l'epoque ou elle etait encore valide?
Oui, maintenant il n'est plus valide :-/
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role de certif?
La réponse est dans la question... Ton certif à plusieurs rôles ; pour faire court : - Permettre à quelqu'un de vérifier qu'il est bien sur le "bon" serveur. - Chiffrer la communication - Eventuellement signer d'autres certifs.
Ton certif expiré va permettre le chiffrage et à quelqu'un qui peut le vérifier qu'il apparten*ait* bien au serveur d'origine.
Je pense que oui , mais je voulais en etre sur.... :-)
Et moi je pense que sur ce coup tu ne comprends pas grand chose à la sécu :-(
Si tu mets un certif c'est pour un motif de sécurité (au sens large, et comme tu poste sur fcs le contexte est clair).
amha il est stupide d'habituer les utilisateurs à ignorer les messages d'avertissement sécu (pour une fois qu'il y en a).
Le fait qu'un certif expire indique clairement qu'on ne doit plus lui faire confiance[1]. Le délai d'expiration est choisi sur plusieurs critères, dont la durée qu'on estime pourvoir le considere comme sur (un autre critère connu est "marchand bidule ne vend pas de certif de plus d'une certaine durée de vie")
Que le certif joue *pour toi* son rôle, même expiré est ok (bien qu'inquiétant :) ) si tu es le seul utilisateur ou que vous êtes une poignée avec *tous* les bases nécessaire sur la sécu [2]
Maintenant si tu as d'autres utilisateurs et que tu as la flemme il te reste deux solutions : - arrete de fumer, euh, de certifier :) ou - génère un certif de longue durée [3]
La flemme peut booster l'esprit (on doit d'abord réfléchir pour ensuite en faire moins :) ) mais dans le cas que tu indique je n'y vois que du négatif. J'imagine qu'avec une telle question sur un forum consacré à la sécu tu ne t'attends pas à ce qu'on te dise "très bien, aucun problème, continue" (sauf à être cynique et j'avoue avoir hésité)
hth Eric.
[1] Et le fait que ça se voir régulièrement sur des "gros" sites ne signifie pas que c'est bien mais, amha, qu'un incapable prends la place de quelqu'un de compétant qui est peut être au chomage :( Une erreur arrive à tous, mais sur certains sites (un opérateur de téléphonie mobile entre autre) c'est vraiment répétitif.
[2] Et je dis ça pour limiter la mauvaise humeur due à la fatigue. Régénerer un certif prends quelques minutes. Le plus long c'est d'aller chercher éventuellement les clefs privés (pour signer) au coffre. Je ne vois aucune raison de ne pas le faire.
[3] Ca implique aussi, amha, de gérer et publier convenablement la crl qui va avec. C'est valable dans tous les cas d'ailleurs (sauf coup tordu, j'en ai d'ailleurs un sous le coude :) ).
Le Sun, 10 Jul 2005 22:56:25 +0000, Patrick a écrit :
Bonjour,
J'ai un site Web accessible en https (dans mon LAN). J'ai remarque que le
certificat SSL de ce site est expire
Je sais comment le renouveler mais j'ai la flemme de le faire .
C'est "mal".
Question: en terme de securite des certifs SSL , est-ce qu'il ya une
difference maintenant par rapport a l'epoque ou elle etait encore valide?
Oui, maintenant il n'est plus valide :-/
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role
de certif?
La réponse est dans la question...
Ton certif à plusieurs rôles ; pour faire court :
- Permettre à quelqu'un de vérifier qu'il est bien sur le "bon" serveur.
- Chiffrer la communication
- Eventuellement signer d'autres certifs.
Ton certif expiré va permettre le chiffrage et à quelqu'un qui peut le
vérifier qu'il apparten*ait* bien au serveur d'origine.
Je pense que oui , mais je voulais en etre sur.... :-)
Et moi je pense que sur ce coup tu ne comprends pas grand chose à la
sécu :-(
Si tu mets un certif c'est pour un motif de sécurité (au sens large, et
comme tu poste sur fcs le contexte est clair).
amha il est stupide d'habituer les utilisateurs à
ignorer les messages d'avertissement sécu (pour une fois qu'il y en a).
Le fait qu'un certif expire indique clairement qu'on ne doit plus lui
faire confiance[1]. Le délai d'expiration est choisi sur plusieurs
critères, dont la durée qu'on estime pourvoir le considere comme sur (un
autre critère connu est "marchand bidule ne vend pas de certif de plus
d'une certaine durée de vie")
Que le certif joue *pour toi* son rôle, même expiré est ok (bien
qu'inquiétant :) ) si tu es le seul utilisateur ou que vous êtes une
poignée avec *tous* les bases nécessaire sur la sécu [2]
Maintenant si tu as d'autres utilisateurs et que tu as la flemme il te
reste deux solutions :
- arrete de fumer, euh, de certifier :)
ou
- génère un certif de longue durée [3]
La flemme peut booster l'esprit (on doit d'abord réfléchir pour ensuite
en faire moins :) ) mais dans le cas que tu indique je n'y vois que du
négatif. J'imagine qu'avec une telle question sur un forum consacré à
la sécu tu ne t'attends pas à ce qu'on te dise "très bien, aucun
problème, continue" (sauf à être cynique et j'avoue avoir hésité)
hth
Eric.
[1] Et le fait que ça se voir régulièrement sur des "gros" sites ne
signifie pas que c'est bien mais, amha, qu'un incapable prends la place de
quelqu'un de compétant qui est peut être au chomage :( Une erreur arrive
à tous, mais sur certains sites (un opérateur de téléphonie mobile
entre autre) c'est vraiment répétitif.
[2] Et je dis ça pour limiter la mauvaise humeur due à la fatigue.
Régénerer un certif prends quelques minutes. Le plus long c'est d'aller
chercher éventuellement les clefs privés (pour signer) au coffre. Je ne
vois aucune raison de ne pas le faire.
[3] Ca implique aussi, amha, de gérer et publier convenablement la crl
qui va avec. C'est valable dans tous les cas d'ailleurs (sauf coup tordu,
j'en ai d'ailleurs un sous le coude :) ).
Le Sun, 10 Jul 2005 22:56:25 +0000, Patrick a écrit :
Bonjour,
J'ai un site Web accessible en https (dans mon LAN). J'ai remarque que le certificat SSL de ce site est expire
Je sais comment le renouveler mais j'ai la flemme de le faire .
C'est "mal".
Question: en terme de securite des certifs SSL , est-ce qu'il ya une difference maintenant par rapport a l'epoque ou elle etait encore valide?
Oui, maintenant il n'est plus valide :-/
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role de certif?
La réponse est dans la question... Ton certif à plusieurs rôles ; pour faire court : - Permettre à quelqu'un de vérifier qu'il est bien sur le "bon" serveur. - Chiffrer la communication - Eventuellement signer d'autres certifs.
Ton certif expiré va permettre le chiffrage et à quelqu'un qui peut le vérifier qu'il apparten*ait* bien au serveur d'origine.
Je pense que oui , mais je voulais en etre sur.... :-)
Et moi je pense que sur ce coup tu ne comprends pas grand chose à la sécu :-(
Si tu mets un certif c'est pour un motif de sécurité (au sens large, et comme tu poste sur fcs le contexte est clair).
amha il est stupide d'habituer les utilisateurs à ignorer les messages d'avertissement sécu (pour une fois qu'il y en a).
Le fait qu'un certif expire indique clairement qu'on ne doit plus lui faire confiance[1]. Le délai d'expiration est choisi sur plusieurs critères, dont la durée qu'on estime pourvoir le considere comme sur (un autre critère connu est "marchand bidule ne vend pas de certif de plus d'une certaine durée de vie")
Que le certif joue *pour toi* son rôle, même expiré est ok (bien qu'inquiétant :) ) si tu es le seul utilisateur ou que vous êtes une poignée avec *tous* les bases nécessaire sur la sécu [2]
Maintenant si tu as d'autres utilisateurs et que tu as la flemme il te reste deux solutions : - arrete de fumer, euh, de certifier :) ou - génère un certif de longue durée [3]
La flemme peut booster l'esprit (on doit d'abord réfléchir pour ensuite en faire moins :) ) mais dans le cas que tu indique je n'y vois que du négatif. J'imagine qu'avec une telle question sur un forum consacré à la sécu tu ne t'attends pas à ce qu'on te dise "très bien, aucun problème, continue" (sauf à être cynique et j'avoue avoir hésité)
hth Eric.
[1] Et le fait que ça se voir régulièrement sur des "gros" sites ne signifie pas que c'est bien mais, amha, qu'un incapable prends la place de quelqu'un de compétant qui est peut être au chomage :( Une erreur arrive à tous, mais sur certains sites (un opérateur de téléphonie mobile entre autre) c'est vraiment répétitif.
[2] Et je dis ça pour limiter la mauvaise humeur due à la fatigue. Régénerer un certif prends quelques minutes. Le plus long c'est d'aller chercher éventuellement les clefs privés (pour signer) au coffre. Je ne vois aucune raison de ne pas le faire.
[3] Ca implique aussi, amha, de gérer et publier convenablement la crl qui va avec. C'est valable dans tous les cas d'ailleurs (sauf coup tordu, j'en ai d'ailleurs un sous le coude :) ).
Sylvain Eche
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role de certif?
Je pense que oui , mais je voulais en etre sur.... :-)
Oula !!
Tout simplement un certificat expiré est considéré comme invalide (c'est à dire que l'on ne fait plus confiance en sa clé privée). Un naviagateur digne de ce nom devrait donc le refuser.
En outre, un certificat expiré n'est plus révocable car les certicats expirés ne figurent plus ou sont retirés de la crl (que les Certificats Revocation List deviennent énormes)
Imagine le cas : ta clé privée s'est faite volée : tu as demandé un révocation du certificat. ton certificat apparait sur le crl et donc plus personne n'accepte ton certificat (dans un monde parfait ou les navigateurs font leur boulot). Et bien zou avec ton raisonnement : une fois ton certificat expiré il redevient valide !!
allez un petit effort on renouvelle son certificat ... et on arrête de profiter du laxisme des navigateurs ! Un jour il va ien finir par s'arrêter ...
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role
de certif?
Je pense que oui , mais je voulais en etre sur.... :-)
Oula !!
Tout simplement un certificat expiré est considéré comme invalide (c'est
à dire que l'on ne fait plus confiance en sa clé privée). Un naviagateur
digne de ce nom devrait donc le refuser.
En outre, un certificat expiré n'est plus révocable car les certicats
expirés ne figurent plus ou sont retirés de la crl (que les Certificats
Revocation List deviennent énormes)
Imagine le cas : ta clé privée s'est faite volée : tu as demandé un
révocation du certificat. ton certificat apparait sur le crl et donc
plus personne n'accepte ton certificat (dans un monde parfait ou les
navigateurs font leur boulot).
Et bien zou avec ton raisonnement : une fois ton certificat expiré il
redevient valide !!
allez un petit effort on renouvelle son certificat ... et on arrête de
profiter du laxisme des navigateurs ! Un jour il va ien finir par
s'arrêter ...
Bref, un certif SSL qu'il soit expire ou pas , assure-t-il encore son role de certif?
Je pense que oui , mais je voulais en etre sur.... :-)
Oula !!
Tout simplement un certificat expiré est considéré comme invalide (c'est à dire que l'on ne fait plus confiance en sa clé privée). Un naviagateur digne de ce nom devrait donc le refuser.
En outre, un certificat expiré n'est plus révocable car les certicats expirés ne figurent plus ou sont retirés de la crl (que les Certificats Revocation List deviennent énormes)
Imagine le cas : ta clé privée s'est faite volée : tu as demandé un révocation du certificat. ton certificat apparait sur le crl et donc plus personne n'accepte ton certificat (dans un monde parfait ou les navigateurs font leur boulot). Et bien zou avec ton raisonnement : une fois ton certificat expiré il redevient valide !!
allez un petit effort on renouvelle son certificat ... et on arrête de profiter du laxisme des navigateurs ! Un jour il va ien finir par s'arrêter ...
Eric Razny
Le Mon, 11 Jul 2005 11:25:24 +0000, Sylvain Eche a écrit :
allez un petit effort on renouvelle son certificat ... et on arrête de profiter du laxisme des navigateurs ! Un jour il va ien finir par s'arrêter ...
Bonjour.
Quel laxisme? Je ne crois pas connaitre de navigateur qui ne dispense pas de message d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car la machine du navigateur peut simplement ne pas être à la bonne date et quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Remarque finalement tu as raison. Si les navigateurs bloquaient immédiatement sur ce genre d'erreur (attention aux détails, si on a une preuve de la date de signature d'un document par exemple, on doit pouvoir utiliser des ancien certifs pour vérif) ça en obligerait plus d'un à choisir entre faire son job ou prendre la porte :)
Eric.
Le Mon, 11 Jul 2005 11:25:24 +0000, Sylvain Eche a écrit :
allez un petit effort on renouvelle son certificat ... et on arrête de
profiter du laxisme des navigateurs ! Un jour il va ien finir par
s'arrêter ...
Bonjour.
Quel laxisme?
Je ne crois pas connaitre de navigateur qui ne dispense pas de message
d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car
la machine du navigateur peut simplement ne pas être à la bonne date et
quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration
d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif,
non?
Remarque finalement tu as raison. Si les navigateurs bloquaient
immédiatement sur ce genre d'erreur (attention aux détails, si on a une
preuve de la date de signature d'un document par exemple, on doit pouvoir
utiliser des ancien certifs pour vérif) ça en obligerait plus d'un à
choisir entre faire son job ou prendre la porte :)
Le Mon, 11 Jul 2005 11:25:24 +0000, Sylvain Eche a écrit :
allez un petit effort on renouvelle son certificat ... et on arrête de profiter du laxisme des navigateurs ! Un jour il va ien finir par s'arrêter ...
Bonjour.
Quel laxisme? Je ne crois pas connaitre de navigateur qui ne dispense pas de message d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car la machine du navigateur peut simplement ne pas être à la bonne date et quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Remarque finalement tu as raison. Si les navigateurs bloquaient immédiatement sur ce genre d'erreur (attention aux détails, si on a une preuve de la date de signature d'un document par exemple, on doit pouvoir utiliser des ancien certifs pour vérif) ça en obligerait plus d'un à choisir entre faire son job ou prendre la porte :)
Eric.
Alain Montfranc
Eric Razny avait soumis l'idée :
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Faut quand meme regarder du coté du prix exorbitant des certificats... et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Eric Razny avait soumis l'idée :
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif,
non?
Faut quand meme regarder du coté du prix exorbitant des certificats...
et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée
pour avoir son certif racine dans IE etait de l'ordre du million de $
!)
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Faut quand meme regarder du coté du prix exorbitant des certificats... et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Eric Razny
Le Mon, 11 Jul 2005 19:43:00 +0000, Alain Montfranc a écrit :
Eric Razny avait soumis l'idée :
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Faut quand meme regarder du coté du prix exorbitant des certificats... et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Oui mais non (c) :) Tu as d'ailleurs d'autant moins intérêt à un certif racine publié par Mickey$oft que le nombre de navigateurs autres qu'IE croit (pas assez vite, certes) régulièrement -sans parler des unixiens et autres "maciste". A moins, bien sur, d'être un thawte/verisign like.
Reste raisonnablement deux solutions : payer un certif annuel, par exemple, à des thawte & co ou être ta propre CA.
Si tu installe une "e-boutique" pour le grand public et que tu veux des certifs il est vrai que tu dois raquer (ou alors consacrer toute une partie de ton site à la pédagogie et expliquer pourquoi le client doit te contacter par un autre moyen pour vérifier la validité du certif).
Dans la cas de l'OP (certif pour utilisation sur le LAN) il me paraît interressant de générer un root certificate de longue durée, et de signer les autres certificats (durée fonction du but et des contraintes) avec la clef privé correspondante et suivant l'usage gérer une CRL. Ainsi la clef privée du root certif va au coffre à la banque et les clefs des autres au coffre dans la boite (remplacer coffre et banque par ce qui convient le mieux pour la circonstance).
Ensuite installation du root certif sur les machines (ou envoit au destinataire avec des preuve que c'est le bon) et roule ma poule :)
Si besoin est un petit rappel : dans une PKI ce n'est pas la technique qui est problématique, c'est la gestion du bestiau et des moyen humains associés.
Eric.
PS : bien sur on peut allonger la chaine de certifs, rien n'impose de se limiter à l'exemple, mais le détail de TLS n'est pas le but du post
Le Mon, 11 Jul 2005 19:43:00 +0000, Alain Montfranc a écrit :
Eric Razny avait soumis l'idée :
S'il y a un laxisme c'est plutôt du côté de celui en charge du
certif, non?
Faut quand meme regarder du coté du prix exorbitant des certificats... et
du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée
pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Oui mais non (c) :)
Tu as d'ailleurs d'autant moins intérêt à un certif racine publié par
Mickey$oft que le nombre de navigateurs autres qu'IE croit (pas assez
vite, certes) régulièrement -sans parler des unixiens et autres
"maciste". A moins, bien sur, d'être un thawte/verisign like.
Reste raisonnablement deux solutions : payer un certif annuel, par
exemple, à des thawte & co ou être ta propre CA.
Si tu installe une "e-boutique" pour le grand public et que tu veux des
certifs il est vrai que tu dois raquer (ou alors consacrer toute une
partie de ton site à la pédagogie et expliquer pourquoi le client doit
te contacter par un autre moyen pour vérifier la validité du certif).
Dans la cas de l'OP (certif pour utilisation sur le LAN) il me paraît
interressant de générer un root certificate de longue durée, et de
signer les autres certificats (durée fonction du but et des contraintes)
avec la clef privé correspondante et suivant l'usage gérer une CRL.
Ainsi la clef privée du root certif va au coffre à la banque et les
clefs des autres au coffre dans la boite (remplacer coffre et banque par
ce qui convient le mieux pour la circonstance).
Ensuite installation du root certif sur les machines (ou envoit au
destinataire avec des preuve que c'est le bon) et roule ma poule :)
Si besoin est un petit rappel : dans une PKI ce n'est pas la technique qui
est problématique, c'est la gestion du bestiau et des moyen humains
associés.
Eric.
PS : bien sur on peut allonger la chaine de certifs, rien n'impose de se
limiter à l'exemple, mais le détail de TLS n'est pas le but du post
Le Mon, 11 Jul 2005 19:43:00 +0000, Alain Montfranc a écrit :
Eric Razny avait soumis l'idée :
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Faut quand meme regarder du coté du prix exorbitant des certificats... et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Oui mais non (c) :) Tu as d'ailleurs d'autant moins intérêt à un certif racine publié par Mickey$oft que le nombre de navigateurs autres qu'IE croit (pas assez vite, certes) régulièrement -sans parler des unixiens et autres "maciste". A moins, bien sur, d'être un thawte/verisign like.
Reste raisonnablement deux solutions : payer un certif annuel, par exemple, à des thawte & co ou être ta propre CA.
Si tu installe une "e-boutique" pour le grand public et que tu veux des certifs il est vrai que tu dois raquer (ou alors consacrer toute une partie de ton site à la pédagogie et expliquer pourquoi le client doit te contacter par un autre moyen pour vérifier la validité du certif).
Dans la cas de l'OP (certif pour utilisation sur le LAN) il me paraît interressant de générer un root certificate de longue durée, et de signer les autres certificats (durée fonction du but et des contraintes) avec la clef privé correspondante et suivant l'usage gérer une CRL. Ainsi la clef privée du root certif va au coffre à la banque et les clefs des autres au coffre dans la boite (remplacer coffre et banque par ce qui convient le mieux pour la circonstance).
Ensuite installation du root certif sur les machines (ou envoit au destinataire avec des preuve que c'est le bon) et roule ma poule :)
Si besoin est un petit rappel : dans une PKI ce n'est pas la technique qui est problématique, c'est la gestion du bestiau et des moyen humains associés.
Eric.
PS : bien sur on peut allonger la chaine de certifs, rien n'impose de se limiter à l'exemple, mais le détail de TLS n'est pas le but du post
Alain Montfranc
Eric Razny a utilisé son clavier pour écrire :
Reste raisonnablement deux solutions : payer un certif annuel, par exemple, à des thawte & co ou être ta propre CA.
Ca n'est valable que si on controle les utilisateurs. Pour du site public, c'est a proscire, helas :-(
Vivement une FCF (Free Certificates Foundation).
Ca serait peut etre a lancer, non ? ;-)
Eric Razny a utilisé son clavier pour écrire :
Reste raisonnablement deux solutions : payer un certif annuel, par
exemple, à des thawte & co ou être ta propre CA.
Ca n'est valable que si on controle les utilisateurs. Pour du site
public, c'est a proscire, helas :-(
Reste raisonnablement deux solutions : payer un certif annuel, par exemple, à des thawte & co ou être ta propre CA.
Ca n'est valable que si on controle les utilisateurs. Pour du site public, c'est a proscire, helas :-(
Vivement une FCF (Free Certificates Foundation).
Ca serait peut etre a lancer, non ? ;-)
Sylvain Eche
Quel laxisme? Je ne crois pas connaitre de navigateur qui ne dispense pas de message d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car la machine du navigateur peut simplement ne pas être à la bonne date et quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Mouhais ... Va expliquer à mon grand père que lorsque le certificat est expiré il faut pas cliquer sur OK qu'il peut potentiellement être victime d'une attaque de Man in the middle
Je crois que refuser l'accès au site avec un message : le site n'est pas sûr ou alors brider les fonctions de formulaire/post sur ce genre de site obligerait les admin de site à mettre a jour leur certificat.
Et puis je ne parle même pas de la politique laxiste du magasin de certificats. C'est marrant on fait confiance à toute la planète, par exemple à une AC des notaires aux mexiques (Colegio Nacional de Correduria Publica Mexicana, A.C.) ! (doivent avoir de pépettes pour se faire référencer). Il devrait au moins y avoir une selection stricte sur la politique de certicication. Va s'avoir avec qu'elle politique cette AC des notaires au mexique delivre des certificats. Au moins verisign propose des assurances avec des primes collosales en cas d'usurpation d'identité. malheureusement l'insertion des certificats dans le certstore IE est plus soumis à des contraintes de prix (j'avais entendu le chiffre de 1 million de dollard pour être ds le certstore netscape) que de sécurité.
Quel laxisme?
Je ne crois pas connaitre de navigateur qui ne dispense pas de message
d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car
la machine du navigateur peut simplement ne pas être à la bonne date et
quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration
d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif,
non?
Mouhais ...
Va expliquer à mon grand père que lorsque le certificat est expiré il
faut pas cliquer sur OK qu'il peut potentiellement être victime d'une
attaque de Man in the middle
Je crois que refuser l'accès au site avec un message : le site n'est pas
sûr ou alors brider les fonctions de formulaire/post sur ce genre de
site obligerait les admin de site à mettre a jour leur certificat.
Et puis je ne parle même pas de la politique laxiste du magasin de
certificats. C'est marrant on fait confiance à toute la planète, par
exemple à une AC des notaires aux mexiques (Colegio Nacional de
Correduria Publica Mexicana, A.C.) ! (doivent avoir de pépettes pour se
faire référencer). Il devrait au moins y avoir une selection stricte sur
la politique de certicication. Va s'avoir avec qu'elle politique cette
AC des notaires au mexique delivre des certificats.
Au moins verisign propose des assurances avec des primes collosales en
cas d'usurpation d'identité.
malheureusement l'insertion des certificats dans le certstore IE est
plus soumis à des contraintes de prix (j'avais entendu le chiffre de 1
million de dollard pour être ds le certstore netscape) que de sécurité.
Quel laxisme? Je ne crois pas connaitre de navigateur qui ne dispense pas de message d'avertissement en ce cas. C'est, amha, mieux qu'un simple refus car la machine du navigateur peut simplement ne pas être à la bonne date et quelquefois il se passe un ou deux jours (ça reste "mal") à l'expiration d'un certif avant de voir le suivant arriver.
S'il y a un laxisme c'est plutôt du côté de celui en charge du certif, non?
Mouhais ... Va expliquer à mon grand père que lorsque le certificat est expiré il faut pas cliquer sur OK qu'il peut potentiellement être victime d'une attaque de Man in the middle
Je crois que refuser l'accès au site avec un message : le site n'est pas sûr ou alors brider les fonctions de formulaire/post sur ce genre de site obligerait les admin de site à mettre a jour leur certificat.
Et puis je ne parle même pas de la politique laxiste du magasin de certificats. C'est marrant on fait confiance à toute la planète, par exemple à une AC des notaires aux mexiques (Colegio Nacional de Correduria Publica Mexicana, A.C.) ! (doivent avoir de pépettes pour se faire référencer). Il devrait au moins y avoir une selection stricte sur la politique de certicication. Va s'avoir avec qu'elle politique cette AC des notaires au mexique delivre des certificats. Au moins verisign propose des assurances avec des primes collosales en cas d'usurpation d'identité. malheureusement l'insertion des certificats dans le certstore IE est plus soumis à des contraintes de prix (j'avais entendu le chiffre de 1 million de dollard pour être ds le certstore netscape) que de sécurité.
Au moins verisign propose des assurances avec des primes collosales
Vaut mieux. J'aurais tendance à faire plus confiance à ton association de notaires mexicains dont je n'ai jamais entendu parler, qu'à une société qui a déjà prouvé sa malhonnêteté (à moins que je confonde ?) <news:
On 12 Jul 2005 13:21:43 GMT, Sylvain Eche <sylvaineche@free.fr>:
Au moins verisign propose des assurances avec des primes collosales
Vaut mieux. J'aurais tendance à faire plus confiance à ton association
de notaires mexicains dont je n'ai jamais entendu parler, qu'à une
société qui a déjà prouvé sa malhonnêteté (à moins que je confonde ?)
<news:slrnbmdf2a.toq.at-2003-03@roadrunner.rominet.net>
Au moins verisign propose des assurances avec des primes collosales
Vaut mieux. J'aurais tendance à faire plus confiance à ton association de notaires mexicains dont je n'ai jamais entendu parler, qu'à une société qui a déjà prouvé sa malhonnêteté (à moins que je confonde ?) <news:
erwann
In article , "Alain Montfranc" wrote:
Faut quand meme regarder du coté du prix exorbitant des certificats...
Pas déconner, c'est pas extrèmement cher pour une entreprise... Et pour celles qui ont beaucoup de sites web à faire certifier, il y a la possibilité d'acheter les certificats par paquets.
et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Tsss... Légendes urbaines... Je n'ai pas souvenir que Microsoft se fasse du blé en référençant les AC. C'était faux en 1999, ça l'est encore aujourd'hui. En fait, tant pour Microsoft que pour la fondation Mozilla, le référencement est gratuit. Mais comme toujours, les coûts sont ailleurs: - infrastructure (équipements crypto, serveurs, coffres, ...) - rédaction des pratiques de certification - personnel+sa formation - et le plus important, tant pour MS que Mozilla, se faire auditer, par Webtrust for CA, ou un équivalent.
Donc en dehors des 3 premiers points cités qui sont indispensables à toute activité d'AC, le référencement chez MS et Mozilla ne coûte que le prix de l'audit (quelques dizaines de milliers d'euros), et ni MS ni Mozilla ne touchent quoi que ce soit.
Je suis d'accord pour casser du sucre sur MS, d'autant qu'il y a de vraies bonnes raisons de le faire, mais pas pour colporter de fausses rumeurs...
-- Erwann Abalea , RSA PGP Key Id: 0x2D0EABD5 En vacances, à la plage, toussa... --- It works better if you plug it in *AND THEN* turn it on.
In article <mn.5ce57d577dc8845a.15643@montfranc.com>,
"Alain Montfranc" <alain-news.wanadoo.fr@montfranc.com> wrote:
Faut quand meme regarder du coté du prix exorbitant des certificats...
Pas déconner, c'est pas extrèmement cher pour une entreprise... Et pour
celles qui ont beaucoup de sites web à faire certifier, il y a la
possibilité d'acheter les certificats par paquets.
et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée
pour avoir son certif racine dans IE etait de l'ordre du million de $
!)
Tsss... Légendes urbaines... Je n'ai pas souvenir que Microsoft se fasse
du blé en référençant les AC. C'était faux en 1999, ça l'est encore
aujourd'hui. En fait, tant pour Microsoft que pour la fondation Mozilla,
le référencement est gratuit. Mais comme toujours, les coûts sont
ailleurs:
- infrastructure (équipements crypto, serveurs, coffres, ...)
- rédaction des pratiques de certification
- personnel+sa formation
- et le plus important, tant pour MS que Mozilla, se faire auditer, par
Webtrust for CA, ou un équivalent.
Donc en dehors des 3 premiers points cités qui sont indispensables à
toute activité d'AC, le référencement chez MS et Mozilla ne coûte que le
prix de l'audit (quelques dizaines de milliers d'euros), et ni MS ni
Mozilla ne touchent quoi que ce soit.
Je suis d'accord pour casser du sucre sur MS, d'autant qu'il y a de
vraies bonnes raisons de le faire, mais pas pour colporter de fausses
rumeurs...
--
Erwann Abalea <erwann@abalea.com>, RSA PGP Key Id: 0x2D0EABD5
En vacances, à la plage, toussa...
---
It works better if you plug it in *AND THEN* turn it on.
Faut quand meme regarder du coté du prix exorbitant des certificats...
Pas déconner, c'est pas extrèmement cher pour une entreprise... Et pour celles qui ont beaucoup de sites web à faire certifier, il y a la possibilité d'acheter les certificats par paquets.
et du blé que m$ se fait dessus (il y a qqes années, le ticket d'entrée pour avoir son certif racine dans IE etait de l'ordre du million de $ !)
Tsss... Légendes urbaines... Je n'ai pas souvenir que Microsoft se fasse du blé en référençant les AC. C'était faux en 1999, ça l'est encore aujourd'hui. En fait, tant pour Microsoft que pour la fondation Mozilla, le référencement est gratuit. Mais comme toujours, les coûts sont ailleurs: - infrastructure (équipements crypto, serveurs, coffres, ...) - rédaction des pratiques de certification - personnel+sa formation - et le plus important, tant pour MS que Mozilla, se faire auditer, par Webtrust for CA, ou un équivalent.
Donc en dehors des 3 premiers points cités qui sont indispensables à toute activité d'AC, le référencement chez MS et Mozilla ne coûte que le prix de l'audit (quelques dizaines de milliers d'euros), et ni MS ni Mozilla ne touchent quoi que ce soit.
Je suis d'accord pour casser du sucre sur MS, d'autant qu'il y a de vraies bonnes raisons de le faire, mais pas pour colporter de fausses rumeurs...
-- Erwann Abalea , RSA PGP Key Id: 0x2D0EABD5 En vacances, à la plage, toussa... --- It works better if you plug it in *AND THEN* turn it on.
