Vitesse de deploiement du certificat EV SSL

Le jeu, 08 mar 2007 at 12:21 GMT, Surfer <no_reply@compte.fr> a écrit :

Bonjour,
Je m'occupe d'un site financier pour lequel il faut offrir les plus hauts
niveaux de scurisation.
J'aimerais votre avis sur le nouveau standar EV SSL prsent dans IE7 et
venir dans Firefox 3 courant 2007.
J'ai mis une copie d'cran ici : http://cjoint.com/?dinnKal2r5
pour l'exemple du site https://www.verisign.fr
La barre d'adresse est surligne en vert si le site dispose d'un certificat
EV SSL valide, en rouge si le certificat est douteux, et non surligne si
c'est un certificat SSL simple

Ca fait un peu marketoïde pour vendre plus cher ce qu'ils (Verisgn & co)
sont déjà (à mon sens) censé faire (vérifier l'éidentité de ceux dont
ils signent les certificats).

Mais bon, si ça peut rassurer vos utilisateurs, et que vous n'êtes pas
aux quelques centaines d'euros de différence près...

Surfer wrote:

Bonjour,
A votre connaissance beaucoup de sites français ont déjà activé ce nouveau
type de certificat ? Toute contrib est bienvenue.

Bonjour,

Nous avons récemment publié un article sur les certificats EV, qui explique ce qu'ils apportent; c'est ici:

http://www.tbs-certificats.com/fom-serve/cache/371.html


Les EV sont encore très très peu répandus, mais avec IE7 qui progresse rapidement, cela devrait changer.

Le niveau de vérification et d'audit de ces certificats est très supérieur aux autres certificats, il est clair que ces produits apportent un service supplémentaire (autre que la barre verte).

Il existe plusieurs marques avec des prix différents, contactez nous si besoin:

http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html.fr



Cordialement,
JP Donnio

Le Sat, 17 Mar 2007 14:38:07 +0000, JP Donnio a écrit :

Surfer wrote:

Bonjour,
A votre connaissance beaucoup de sites français ont déjà activé ce nouveau
type de certificat ? Toute contrib est bienvenue.

Bonjour,

Nous avons récemment publié un article sur les certificats EV, qui explique ce qu'ils apportent; c'est ici:
http://www.tbs-certificats.com/fom-serve/cache/371.html

Que je sache, en ce qui concerne la certification, on nous demande, commme
pour les anciens certifs, de faire confiance à l'AC (rien de mal la
dedans, c'est une constatation). Ca n'a pas empêché il y a quelques
années une AC réputé de délivrer des vrai faux certifs MS.

En caricaturant un peu, MS, par exemple, va intégrer suivant ses propres
critères (ou mieux un simple engagement -contrôlé?- de respect d'un
cahier des charges) des ACs. Ces AC peuvent délivrer des joulis certifs
qui vont mettre de la couleur.

Sur le fond rien de nouveau, le certificat permet une autentification.
Si je dois faire confiance à un certif, alors le mieux est que je vire
les AC auxquelles je n'ai pas confiance et que je ne garde que les
"bonnes" (selon mes critères). J'aurais ainsi un message d'erreur quand
il le faut[1].

C'est le boulot du navigateur d'afficher correctement les infos à
l'utilisateur et c'est possible dès maintenant. Du genre faire gaffe à
des certifs dans des frames de différents domaines etc.

Le niveau de vérification et d'audit de ces certificats est très
supérieur aux autres certificats,

Ben tiens, donc le niveau de vérification et d'audit des "anciens"
certifs créés par des CAs qui font leur boulot est très inférieur
à ces nouveaux certifs. Est-ce bien sérieux de prétendre ça?

Il existe plusieurs marques avec des prix différents, contactez nous si besoin:

http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html.fr

Quand je vais par exemple sur le site de verisign je me dis que ça fait
bien cher 50% de plus pour un vert marketoïde :(

http://www.verisign.com/ssl/buy-ssl-certificates/extended-validation-pro-ssl-certificates/index.html

donne 4 arguments. 1 est le "joli vert", 3 et 4 sont purement liés à la
qualité supposé de l'AC, et 2 n'est pas lié au EV. Trouver l'erreur
(les 4 erreurs? :) )


Eric

[1] Accessoirement l'intégration des AC dans les navigateurs par les
fournisseurs de ces navigateurs est certes pratique pour le grand public
mais c'est aussi lui cacher de facto le mécanisme sensé assurer sa
sécurité. J'attends avec impatience un exploit qui va verdir un peut
certains browsers avec ces nouveaux certifs... Si le gus est soucieux de
sa sécu il va sur les propriétés de la page et regarde la chaine de
certification, c'est tout.

Eric Razny wrote:

Que je sache, en ce qui concerne la certification, on nous demande, commme
pour les anciens certifs, de faire confiance à l'AC (rien de mal la
dedans, c'est une constatation). Ca n'a pas empêché il y a quelques
années une AC réputé de délivrer des vrai faux certifs MS.

A ma connaissance, le nombre de certificat délivré frauduleusement avec les méthodes de verifications 3-facteur se compte sur les doigts d'une main. A la louche, on ne doit pas dépasser une erreur sur 100000 soit du 99.999%... ce qui me semble plus que raisonnable!

En caricaturant un peu, MS, par exemple, va intégrer suivant ses propres
critères (ou mieux un simple engagement -contrôlé?- de respect d'un
cahier des charges) des ACs. Ces AC peuvent délivrer des joulis certifs
qui vont mettre de la couleur.

Les AC doivent subit l'audit webtrust annuel (c'était déjà le cas avant) plus maintenant l'audit EV. Réalisé par un organisme indépendant.

Sur le fond rien de nouveau, le certificat permet une autentification.
Si je dois faire confiance à un certif, alors le mieux est que je vire
les AC auxquelles je n'ai pas confiance et que je ne garde que les
"bonnes" (selon mes critères). J'aurais ainsi un message d'erreur quand
il le faut[1].

Absolument d'accord, c'est d'ailleurs ce qui existe dans mon navigateur!
Si nous avions tous conscience de ces aspects, on désactiverait toutes les ACs dont on a pas lu la CPS et accepté de faire confiance.

Dans le monde réel, les gens ne peuvent pas faire cela, et font confiance à tout ce qui est dans la liste... Avec les problèmes que l'on sait au niveau des certificats domain-validated.

C'est le boulot du navigateur d'afficher correctement les infos à
l'utilisateur et c'est possible dès maintenant. Du genre faire gaffe à
des certifs dans des frames de différents domaines etc.

Tout à fait, encore faut-il savoir interpréter tout cela, et lire la CPS! Vu que ce document fait en général entre 50 et 100 pages, souvent en anglais (juridique), cela relève uniquement des geeks!

Le niveau de vérification et d'audit de ces certificats est très
supérieur aux autres certificats,

Ben tiens, donc le niveau de vérification et d'audit des "anciens"
certifs créés par des CAs qui font leur boulot est très inférieur
à ces nouveaux certifs. Est-ce bien sérieux de prétendre ça?

Absolument c'est sérieux. Je travaille dans ce monde depuis 10 ans, je sais précisement comment fonctionne une authentification 1-facteur, 3-facteur, et EV (je viens d'être formé).

Il y a bcp plus de facteurs dans une authentification EV, et beaucoup moins de libéralité. Donc certaines organisations ne pourront plus être certifiées EV, elles devront améliorer leur visibilité juridique (je pense à certains casino en ligne basés dans les iles par exemple).

L'authentification EV aura un taux d'erreur plus faible que l'authentification 3-facteur. De combien, c'est difficile à dire je ne suis pas statisticien, peut être pour atteindre 1 pour 1 million.

Par contre, ce que je regrette, et je le dis publiquement, c'est que Microsoft n'ait pas colorié en orange les certificats 1-facteur (domain validated). Ca aurait massivement assainit le marché, et croyez moi, si vous faites confiance à un certificat domain validated, vous prenez un risque.

Il existe plusieurs marques avec des prix différents, contactez nous si besoin:

http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html.fr

Quand je vais par exemple sur le site de verisign je me dis que ça fait
bien cher 50% de plus pour un vert marketoïde :(

Je ne vais pas répondre sur la question du prix, mais il est clair qu'un certificat EV est considérablement plus couteux à produire qu'un certificat 3-facteur. L'audit est beaucoup plus long et plus complexe.

http://www.verisign.com/ssl/buy-ssl-certificates/extended-validation-pro-ssl-certificates/index.html

donne 4 arguments. 1 est le "joli vert", 3 et 4 sont purement liés à la
qualité supposé de l'AC, et 2 n'est pas lié au EV. Trouver l'erreur
(les 4 erreurs? :) )

Ben c'est du marketing. Difficile de parler authentification à un public non averti. Au niveau du grand public, le message est clair: si y'a la barre verte, l'authentification est de qualité supérieure.


Nous même n'avons pas parlé à fond des aspects authentification, même si c'est tout de même plus technique: http://www.tbs-certificats.com/fom-serve/cache/371.html

Je vais rajouter qq infos plus technique encore.

[1] Accessoirement l'intégration des AC dans les navigateurs par les
fournisseurs de ces navigateurs est certes pratique pour le grand public
mais c'est aussi lui cacher de facto le mécanisme sensé assurer sa
sécurité. J'attends avec impatience un exploit qui va verdir un peut
certains browsers avec ces nouveaux certifs... Si le gus est soucieux de
sa sécu il va sur les propriétés de la page et regarde la chaine de
certification, c'est tout.

Il est nécessaire que les AC soient dans les navigateur pour éviter la diffusion de certificats racine forgées.

Maintenant si on livrait les navigateurs avec les racines, mais en les désactivant (pour que l'utilisateur les réactive), cela pourrait avoir du sens. A la condition de lui afficher une popup compréhensible, qui lui indique clairement qu'il faut lire la CPS pour prendre la décision d'activation. Mais je suis persuadé que pas plus de 1 utilisateur pour 1000 prendrait le temps de peser la décision!

Néanmoins, on peut se demander pourquoi en entreprise, les RSSI ne font pas distribuer des navigateurs avec seulement les AC approuvées par le RSSI. Ca c'est faisable, et ca a du sens!