Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
On Monday 14 September 2015 18:02:06 Belaïd wrote:
> Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a
> râlé sur un certificat auto-signé.
On Monday 14 September 2015 18:20:45 Eric Degenetais wrote:
> En quoi des certificats officiels à 5⬠/ an seraient-ils p lus
> crédibles que les certificats auto-signés ?
> Ãa dépend pour qui.
> Oui, j'avais déjà vu un MUA "couiner", et dans la mesure oà ¹ c'est,
> franchement, le meilleur comportement pour la sécurité, j'ava is un peu
> naïvement pris mon cas pour une généralité...
> Attention, ne pas confondre certificat signé bénévolemen t par une
autorité
> qui ne fait pas payer et certificats auto-signés ou signés pa r une
autorité
> installé dans son garage, c'est fort différent.
> Quand vous vous connectez sur un serveur, c'est la signature de son
> certificat par une autorité publiquement connue (et à laquell e on fait
> confiance par un processus social et non technique pour ne pas dél ivrer
> n'importe quel certificat à n'importe qui) qui permet à l'uti lisateur
final
> d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il
> croit contacter.
> Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compt e
> c'est que vous ayez confiance dans l'autorité en question (et conf iance
> dans le fait que c'est bien son certificat qui est dans votre truststor e,
> ce qui implique de faire confiance à l'éditeur du client mail ou u
> navigateur, et dans votre moyen de distribution des paquets logiciels).
> Avec un auto-signé, le client n' AUCUN moyen de savoir si le certi ficat
est
> bidon ou non (je certifie moi-même que je suis authentique...)
Pour les certificats https, il n'y a pas de demi-mesure,
soit on, le crée et signe soi même => ça couine,
soit on le, crée et fait signer par une autorité de certificati on,
la résistance du certificat est liée à son prix qui peut m onter très haut.
Pour ceux à 5â¬/an, humm, résistance assez faible pas me illeure
que ceux auto-signés.
Les certificats signés par "cacert.org" ne sont pas acceptés pa r
les navigateurs (https).
D'où l'idée de "let's encrypt" déjà signalée, sp onsorisé par
Mozilla, Cisco et d'autres... Enfin des certificats opensource !
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
André
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
On Monday 14 September 2015 18:02:06 Belaïd wrote:
> Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a
> râlé sur un certificat auto-signé.
On Monday 14 September 2015 18:20:45 Eric Degenetais wrote:
> En quoi des certificats officiels à 5⬠/ an seraient-ils p lus
> crédibles que les certificats auto-signés ?
> Ãa dépend pour qui.
> Oui, j'avais déjà vu un MUA "couiner", et dans la mesure oà ¹ c'est,
> franchement, le meilleur comportement pour la sécurité, j'ava is un peu
> naïvement pris mon cas pour une généralité...
> Attention, ne pas confondre certificat signé bénévolemen t par une
autorité
> qui ne fait pas payer et certificats auto-signés ou signés pa r une
autorité
> installé dans son garage, c'est fort différent.
> Quand vous vous connectez sur un serveur, c'est la signature de son
> certificat par une autorité publiquement connue (et à laquell e on fait
> confiance par un processus social et non technique pour ne pas dél ivrer
> n'importe quel certificat à n'importe qui) qui permet à l'uti lisateur
final
> d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il
> croit contacter.
> Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compt e
> c'est que vous ayez confiance dans l'autorité en question (et conf iance
> dans le fait que c'est bien son certificat qui est dans votre truststor e,
> ce qui implique de faire confiance à l'éditeur du client mail ou u
> navigateur, et dans votre moyen de distribution des paquets logiciels).
> Avec un auto-signé, le client n' AUCUN moyen de savoir si le certi ficat
est
> bidon ou non (je certifie moi-même que je suis authentique...)
Pour les certificats https, il n'y a pas de demi-mesure,
soit on, le crée et signe soi même => ça couine,
soit on le, crée et fait signer par une autorité de certificati on,
la résistance du certificat est liée à son prix qui peut m onter très haut.
Pour ceux à 5â¬/an, humm, résistance assez faible pas me illeure
que ceux auto-signés.
Les certificats signés par "cacert.org" ne sont pas acceptés pa r
les navigateurs (https).
D'où l'idée de "let's encrypt" déjà signalée, sp onsorisé par
Mozilla, Cisco et d'autres... Enfin des certificats opensource !
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
André
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
On Monday 14 September 2015 18:02:06 Belaïd wrote:
> Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a
> râlé sur un certificat auto-signé.
On Monday 14 September 2015 18:20:45 Eric Degenetais wrote:
> En quoi des certificats officiels à 5⬠/ an seraient-ils p lus
> crédibles que les certificats auto-signés ?
> Ãa dépend pour qui.
> Oui, j'avais déjà vu un MUA "couiner", et dans la mesure oà ¹ c'est,
> franchement, le meilleur comportement pour la sécurité, j'ava is un peu
> naïvement pris mon cas pour une généralité...
> Attention, ne pas confondre certificat signé bénévolemen t par une
autorité
> qui ne fait pas payer et certificats auto-signés ou signés pa r une
autorité
> installé dans son garage, c'est fort différent.
> Quand vous vous connectez sur un serveur, c'est la signature de son
> certificat par une autorité publiquement connue (et à laquell e on fait
> confiance par un processus social et non technique pour ne pas dél ivrer
> n'importe quel certificat à n'importe qui) qui permet à l'uti lisateur
final
> d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il
> croit contacter.
> Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compt e
> c'est que vous ayez confiance dans l'autorité en question (et conf iance
> dans le fait que c'est bien son certificat qui est dans votre truststor e,
> ce qui implique de faire confiance à l'éditeur du client mail ou u
> navigateur, et dans votre moyen de distribution des paquets logiciels).
> Avec un auto-signé, le client n' AUCUN moyen de savoir si le certi ficat
est
> bidon ou non (je certifie moi-même que je suis authentique...)
Pour les certificats https, il n'y a pas de demi-mesure,
soit on, le crée et signe soi même => ça couine,
soit on le, crée et fait signer par une autorité de certificati on,
la résistance du certificat est liée à son prix qui peut m onter très haut.
Pour ceux à 5â¬/an, humm, résistance assez faible pas me illeure
que ceux auto-signés.
Les certificats signés par "cacert.org" ne sont pas acceptés pa r
les navigateurs (https).
D'où l'idée de "let's encrypt" déjà signalée, sp onsorisé par
Mozilla, Cisco et d'autres... Enfin des certificats opensource !
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent ê tre
signés par l'autorité de certification "cacert.org", gratuiteme nt :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui à ©met des
certificats à clés publiques gratuits. CAcert a plus de 260 000
utilisateurs
vérifiés, et a émis plus d'un million de certificats.
André
la résistance du certificat est liée à son prix qui peut m onter très haut. Pour ceux à 5â¬/an, humm, résistance assez faible pas meilleure que ceux auto-signés.
la résistance du certificat est liée à son prix qui peut m onter très haut. Pour ceux à 5â¬/an, humm, résistance assez faible pas meilleure que ceux auto-signés.
la résistance du certificat est liée à son prix qui peut m onter très haut. Pour ceux à 5â¬/an, humm, résistance assez faible pas meilleure que ceux auto-signés.
Comment se fait-il que mon serveur de mails officiel
accepte les certificats TLS et SSL qui n'émane pas
d'une autorité reconnue, sauf que ce certificat
a été accrédité par "cacert.org".
Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
outlook...
Comment se fait-il que mon serveur de mails officiel
accepte les certificats TLS et SSL qui n'émane pas
d'une autorité reconnue, sauf que ce certificat
a été accrédité par "cacert.org".
Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
outlook...
Comment se fait-il que mon serveur de mails officiel
accepte les certificats TLS et SSL qui n'émane pas
d'une autorité reconnue, sauf que ce certificat
a été accrédité par "cacert.org".
Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
outlook...
>
> Pour les certificats de mails, comme déjà indiqué, pour être
> sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> signés par l'autorité de certification "cacert.org", gratuitement :
> https://fr.wikipedia.org/wiki/CAcert.org
> CAcert.org est une autorité de certification communautaire qui émet des
> certificats à clés publiques gratuits. CAcert a plus de 260 000
> utilisateurs
> vérifiés, et a émis plus d'un million de certificats.
OK, donc on en reste au même principe que les navigateurs: on n'accepte pas
les auto-signés, et il faut se faire signer par une autorité reconnue . Que
CAcert.org soit reconnue par les clients mail, mais pas par les navigateu rs
ne change rien au principe: concrètement un navigateur ou un client e-m ail
est fourni avec un truststore pré-rempli avec des autorités reconnues de
confiance. Les utilisateurs font confiance à leur source de logiciel po ur
vous fournir des clients qui acceptent uniquement des autorités de
certification dignes de confiance...
Que cacert.org signe gratuitement n'est pas le plus important. Ce qui
compte c'est que ce soit une autorité qui est reconnue comme sérieuse . La
solidité d'une certificat (AKA choix d'un bon algorithme + longeur de c lef)
est un problème important mais c'est un AUTRE problème.
Pas très différent d'acheter une porte: vous faites confiance au fabr iquant
pour ne pas vendre des copies de clefs aux autres derrière votre dos. A voir
une porte blindée de 20 cm ne protège en rien si tout le monde peut a voir
une copie de la clef.
> la résistance du certificat est liée à son prix :
La résistance ?! :
>
> Pour les certificats de mails, comme déjà indiqué, pour être
> sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> signés par l'autorité de certification "cacert.org", gratuitement :
> https://fr.wikipedia.org/wiki/CAcert.org
> CAcert.org est une autorité de certification communautaire qui émet des
> certificats à clés publiques gratuits. CAcert a plus de 260 000
> utilisateurs
> vérifiés, et a émis plus d'un million de certificats.
OK, donc on en reste au même principe que les navigateurs: on n'accepte pas
les auto-signés, et il faut se faire signer par une autorité reconnue . Que
CAcert.org soit reconnue par les clients mail, mais pas par les navigateu rs
ne change rien au principe: concrètement un navigateur ou un client e-m ail
est fourni avec un truststore pré-rempli avec des autorités reconnues de
confiance. Les utilisateurs font confiance à leur source de logiciel po ur
vous fournir des clients qui acceptent uniquement des autorités de
certification dignes de confiance...
Que cacert.org signe gratuitement n'est pas le plus important. Ce qui
compte c'est que ce soit une autorité qui est reconnue comme sérieuse . La
solidité d'une certificat (AKA choix d'un bon algorithme + longeur de c lef)
est un problème important mais c'est un AUTRE problème.
Pas très différent d'acheter une porte: vous faites confiance au fabr iquant
pour ne pas vendre des copies de clefs aux autres derrière votre dos. A voir
une porte blindée de 20 cm ne protège en rien si tout le monde peut a voir
une copie de la clef.
> la résistance du certificat est liée à son prix :
La résistance ?! :
>
> Pour les certificats de mails, comme déjà indiqué, pour être
> sûr qu'ils soient acceptés par tous les MUA, ils doivent être
> signés par l'autorité de certification "cacert.org", gratuitement :
> https://fr.wikipedia.org/wiki/CAcert.org
> CAcert.org est une autorité de certification communautaire qui émet des
> certificats à clés publiques gratuits. CAcert a plus de 260 000
> utilisateurs
> vérifiés, et a émis plus d'un million de certificats.
OK, donc on en reste au même principe que les navigateurs: on n'accepte pas
les auto-signés, et il faut se faire signer par une autorité reconnue . Que
CAcert.org soit reconnue par les clients mail, mais pas par les navigateu rs
ne change rien au principe: concrètement un navigateur ou un client e-m ail
est fourni avec un truststore pré-rempli avec des autorités reconnues de
confiance. Les utilisateurs font confiance à leur source de logiciel po ur
vous fournir des clients qui acceptent uniquement des autorités de
certification dignes de confiance...
Que cacert.org signe gratuitement n'est pas le plus important. Ce qui
compte c'est que ce soit une autorité qui est reconnue comme sérieuse . La
solidité d'une certificat (AKA choix d'un bon algorithme + longeur de c lef)
est un problème important mais c'est un AUTRE problème.
Pas très différent d'acheter une porte: vous faites confiance au fabr iquant
pour ne pas vendre des copies de clefs aux autres derrière votre dos. A voir
une porte blindée de 20 cm ne protège en rien si tout le monde peut a voir
une copie de la clef.
> la résistance du certificat est liée à son prix :
La résistance ?! :
On Mon, Sep 14, 2015 at 04:02:55PM +0200, wro te:
> Comment se fait-il que mon serveur de mails officiel
> accepte les certificats TLS et SSL qui n'émane pas
> d'une autorité reconnue, sauf que ce certificat
> a été accrédité par "cacert.org".
je n'ai pas compris cette phrase.
Tu dis que ton serveur accepte *les* certificat*s* sauf que le certif
de ton serveur à été accrédité CACert ?!
> Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
> outlook...
LES MUA utilisent generalement la meme chaine/keytrust que
les agents https, en tout cas pour thunderbird/firefox et
outlook/windows.
On Mon, Sep 14, 2015 at 04:02:55PM +0200, andre_debian@numericable.fr wro te:
> Comment se fait-il que mon serveur de mails officiel
> accepte les certificats TLS et SSL qui n'émane pas
> d'une autorité reconnue, sauf que ce certificat
> a été accrédité par "cacert.org".
je n'ai pas compris cette phrase.
Tu dis que ton serveur accepte *les* certificat*s* sauf que le certif
de ton serveur à été accrédité CACert ?!
> Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
> outlook...
LES MUA utilisent generalement la meme chaine/keytrust que
les agents https, en tout cas pour thunderbird/firefox et
outlook/windows.
On Mon, Sep 14, 2015 at 04:02:55PM +0200, wro te:
> Comment se fait-il que mon serveur de mails officiel
> accepte les certificats TLS et SSL qui n'émane pas
> d'une autorité reconnue, sauf que ce certificat
> a été accrédité par "cacert.org".
je n'ai pas compris cette phrase.
Tu dis que ton serveur accepte *les* certificat*s* sauf que le certif
de ton serveur à été accrédité CACert ?!
> Et ce, quelquesoit le MUA : kmail, thunderbird, claws-mail,
> outlook...
LES MUA utilisent generalement la meme chaine/keytrust que
les agents https, en tout cas pour thunderbird/firefox et
outlook/windows.
[â¦]
On Tuesday 15 September 2015 11:24:18 wrote:
> > la résistance du certificat est liée à son prix :
> La résistance ?! :
Comme Papy,
quelle est la différence entre un certificat à 5⬠e t 3000⬠/
an ?
[â¦]
On Tuesday 15 September 2015 11:24:18 juke@free.fr wrote:
> > la résistance du certificat est liée à son prix :
> La résistance ?! :
Comme Papy,
quelle est la différence entre un certificat à 5⬠e t 3000⬠/
an ?
[â¦]
On Tuesday 15 September 2015 11:24:18 wrote:
> > la résistance du certificat est liée à son prix :
> La résistance ?! :
Comme Papy,
quelle est la différence entre un certificat à 5⬠e t 3000⬠/
an ?
C'est un constat que je ne peux expliquer,
les certificats simplement accrédités par CACert
sont acceptés par les MUA et pas par les navigateurs.
C'est un constat que je ne peux expliquer,
les certificats simplement accrédités par CACert
sont acceptés par les MUA et pas par les navigateurs.
C'est un constat que je ne peux expliquer,
les certificats simplement accrédités par CACert
sont acceptés par les MUA et pas par les navigateurs.
Le mardi 15 septembre 2015 à 11:53, a écr it :
> C'est un constat que je ne peux expliquer,
> les certificats simplement accrédités par CACert
> sont acceptés par les MUA et pas par les navigateurs.
Les navigateurs peuvent accepter les certificats provenant de CACert,
mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
de CACert dans leur base d'autorités de confiance
(pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
On peut très bien ajouter le certificat racine dans la base et alors, i ls
accepteront sans problème les certificats émis par CACert.
http://www.cacert.org/index.php?id=3
Sébastien
Le mardi 15 septembre 2015 à 11:53, andre_debian@numericable.fr a écr it :
> C'est un constat que je ne peux expliquer,
> les certificats simplement accrédités par CACert
> sont acceptés par les MUA et pas par les navigateurs.
Les navigateurs peuvent accepter les certificats provenant de CACert,
mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
de CACert dans leur base d'autorités de confiance
(pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
On peut très bien ajouter le certificat racine dans la base et alors, i ls
accepteront sans problème les certificats émis par CACert.
http://www.cacert.org/index.php?id=3
Sébastien
Le mardi 15 septembre 2015 à 11:53, a écr it :
> C'est un constat que je ne peux expliquer,
> les certificats simplement accrédités par CACert
> sont acceptés par les MUA et pas par les navigateurs.
Les navigateurs peuvent accepter les certificats provenant de CACert,
mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
de CACert dans leur base d'autorités de confiance
(pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
On peut très bien ajouter le certificat racine dans la base et alors, i ls
accepteront sans problème les certificats émis par CACert.
http://www.cacert.org/index.php?id=3
Sébastien
On Tuesday 15 September 2015 14:48:54 Sébastien NOBILI wrote:
> Le mardi 15 septembre 2015 à 11:53, a écrit :
> > C'est un constat que je ne peux expliquer,
> > les certificats simplement accrédités par CACert
> > sont acceptés par les MUA et pas par les navigateurs.
> Les navigateurs peuvent accepter les certificats provenant de CACert,
> mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
> de CACert dans leur base d'autorités de confiance
> (pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
> On peut très bien ajouter le certificat racine dans la base et alors, ils
> accepteront sans problème les certificats émis par CACert.
> http://www.cacert.org/index.php?id=3
> Sébastien
Info bien intéressante, concernant les navigateurs (https),
mais la technique me dépasse.
Si tu pouvais me donner un petit tuto... :-)
On Tuesday 15 September 2015 14:48:54 Sébastien NOBILI wrote:
> Le mardi 15 septembre 2015 à 11:53, andre_debian@numericable.fr a écrit :
> > C'est un constat que je ne peux expliquer,
> > les certificats simplement accrédités par CACert
> > sont acceptés par les MUA et pas par les navigateurs.
> Les navigateurs peuvent accepter les certificats provenant de CACert,
> mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
> de CACert dans leur base d'autorités de confiance
> (pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
> On peut très bien ajouter le certificat racine dans la base et alors, ils
> accepteront sans problème les certificats émis par CACert.
> http://www.cacert.org/index.php?id=3
> Sébastien
Info bien intéressante, concernant les navigateurs (https),
mais la technique me dépasse.
Si tu pouvais me donner un petit tuto... :-)
On Tuesday 15 September 2015 14:48:54 Sébastien NOBILI wrote:
> Le mardi 15 septembre 2015 à 11:53, a écrit :
> > C'est un constat que je ne peux expliquer,
> > les certificats simplement accrédités par CACert
> > sont acceptés par les MUA et pas par les navigateurs.
> Les navigateurs peuvent accepter les certificats provenant de CACert,
> mais (du moins pour ceux que j'utilise) n'ont pas le certificat racine
> de CACert dans leur base d'autorités de confiance
> (pourquoi, je ne sais pas mais ça doit pouvoir se trouver).
> On peut très bien ajouter le certificat racine dans la base et alors, ils
> accepteront sans problème les certificats émis par CACert.
> http://www.cacert.org/index.php?id=3
> Sébastien
Info bien intéressante, concernant les navigateurs (https),
mais la technique me dépasse.
Si tu pouvais me donner un petit tuto... :-)
