Discussion :

[Neckara]

Bonjour,

Je viens de voir récemment un sujet parlant de certificats SSL et en regardant un peu j'ai vu les prix d'un certificats.

Je les trouves un peu scandaleux, j'en ai trouvé à 449€ par ans.
Qu'est-ce qui justifie de tels prix ? Quand on fait signer un tel certificat, il va juste être enregistré sur un serveur qui va confirmer l'authenticité du site à la demande du navigateur non ?

Comment sont donc choisis les organismes d’autorité de certifications ?
C'est un peu la même chose pour les organismes qui permettent d'obtenir des noms de domaines, comment sont-elles choisies ?

Le fait de devoir se tourner vers des organismes spécifiques pour les noms de domaines et les certificats n'est-il pas en contradiction avec le fait qu'internet devrait être "un réseau décentralisé" ?

Cordialement,
Neckara

[Tlams]

Tu peux obtenir des certificats SSL gratuits ou à prix très bas (8/12$), qui proposent le minimum.
Ce qui change c'est la garantie sur les transactions et autres services liés.

Sans organismes de régulation, internet serait vraiment la jungle (déjà que...).
Comment garantir qu'un nom de domaine soit unique?

[provirus]

Allo,

StartSSL peut t'en donner des gratuits pour ton domaine de base. Si tu veux des sous-domaines et des wildcard (*.tondomaine.com), c'est 60$ US par année pour illimité de certificats.

[Neckara]

Bonjour,

Merci pour vos informations, mais je me posais surtout la question sur qui sont ces organismes ?
Comment sont-ils choisis ?

[ram-0000]

je pense que n'importe quel organisme peut être autorité de certification.

A partir du moment où :

• il a une certaine crédibilité dans le domaine (marmiton.org faire des certificats, je n'y crois pas du tout )
• un processus formel est mis en place pour gérer les certificat (demande, vérification, sauvegarde, révocation)
• il a une certaine crédibilité dans sa stabilité (une organisation qui fait faillite et c'est tous les certificats certifiés par cette organisation qui deviennent faibles (ou nuls selon ta sensibilité)

Quel est le prix d'un certificat ? C'est facile, le prix que tu es prêt à le payer (bon, il y a certains coûts incompressibles liés à l'organisation mise autour).

[Neckara]

Donc si je veux je peux devenir mon propre organisme de certification ?

Je prend par exemple un hébergement sur OVH et je peux certifier tout ce que je veux ?
Comment la certification fonctionne ?

[manticore]

Salut,

alors il faut déjà différencier deux choses, les autorités de certifications qui sont des entreprises à but lucrative et ceux qui gèrent les DNS.

Pour les DNS c'est généralement un mandat du gouvernement en suisse c'est SWITCH et en france apparement l'AFSIC http://fr.wikipedia.org/wiki/AFNIC.

Ce sont généralement des associations à but non lucratif ayant un mandat publique, mais cela doit différer pas mal selon les pays...

Maintenant n'importe qui peut devenir une autorité de certification. Mais pour que cela marche, il faut que Mozilla, Microsoft, Google, Apple te considère comme fiable, car si tu n'est pas dans leur liste ton certificat sera inutile.

Ensuite pour être reconnu par les acteurs majeurs, je pense que cela doit être relativement difficile. On peut clairement supposer qu'il faut être certifié à un très haut niveau de sécurité (informatique mais aussi physique). Ce qui veut dire norme ISO, audit externe etc... Apparement il existe le webtrust audit pour les CA : http://www.webtrust.org/homepage-doc.../item54279.pdf

Et si par hasard tu te fais hacker... ben tu finis comme DigiNotar en faillite.


p.s. la plupart des informations dans ce message sont des suppositions, mais je doute qu'il y a aille un tuto pour devenir une autorité de certification

[Neckara]

D'accord, donc si je comprend bien, il faut être dans la liste des certificats.

Et si, par exemple, une personne propose un moyen pour les clients de télécharger les certificats et de les intégrer dans firefox/internet explorer (J'ai vu un petit article sur le sujet) ?

Il faudra qu'il fasse certifier son site et qu'on télécharge les différentes informations via SSL ?
Dans ce cas là, il suffira juste que les clients fassent confiance à ce site et que ce site soit "sécurisé".

Par contre, avant d'accepter un certificat, il faut faire une "vérification" ?
Comment effectuer cette vérification ? En envoyant un e-mail à une des adresses obtenue par WHOIS ?

[manticore]

Avoir un certificat signé par une autorité est utile car n'importe qui pourra vérifier qui tu es.

Maintenant tu peux ajouter toi même, en trois clics, des certificats dans ton navigateur préféré (voir sur google le tuto adapté).

Si tu signes toi même un certificat. Tu deviens la CA de ce certificat. Si tu transmets la clé publique de ta CA à des amis/clients, et qu'ils l’intègrent dans leur navigateur, les certificats signés par cette CA seront alors valides pour eux. Mais pas pour un inconnu.

Tu peux aussi utiliser cette technique dans des softs et ainsi faire de l'authentification mutuel.

J'espère avoir été clair, mais le sujet est vaste

[Neckara]

Il existe des certificats gratuits quand on a un seul serveur et un seul domaine.

Malheureusement, dès qu'on a plusieurs serveurs, plusieurs sous-domaines et un seul domaines, les prix grimpent très (voir trop) vite.

Si je certifie un domaine et que je l'utilise pour permettre à les utilisateurs de télécharger automatiquement mes propres certificats pour mon site ainsi que quelques sites "amis", on peut ainsi éviter de payer le prix fort pour plusieurs sous-domaines tout en restant "indépendant" non?

[manticore]

Si quelqu'un veut faire du MITM il pourra le faire (avant que tu télécharges le CA).

Ton certificat n'étant pas signé par un tier, il doit te faire confiance lorsqu'il va venir la première fois sur ton site.

Si un attaquant se met au milieu à cette première transaction il peut faire du mitm. Sans parler du faite que l'utilisateur aura un gros "CE SITE N'EST PAS SECURISE".

[Neckara]

Si quelqu'un veut faire du MITM il pourra le faire (avant que tu télécharges le CA).

Ton certificat n'étant pas signé par un tier, il doit te faire confiance lorsqu'il va venir la première fois sur ton site.

Mais si le domaine dont je me sert pour faire télécharger les certificats est certifié avec leurs certificats gratuits, je ne devrais pas avoir de problèmes non?

Sans parler du faite que l'utilisateur aura un gros "CE SITE N'EST PAS SECURISE".

Seulement s'il va directement dans un session https non ?

MITM = Man In The Middle je présume ?

[fredoche]

La certification est essentiellement un problème et un processus humain

Un problème qui est assez méconnu et qui est soulevé par ces certificats gratuits ou pas cher : on ne certifie que le domaine.

Autrement dit :"www.domaine.com est bien www.domaine.com"

Après avec la légende populaire qui veut que https + cadenas = site sécurisé, la porte est grande ouverte pour les arnaques.

Je peux créer un domaine amazon.ga, prendre gratuitement ou pour 100€ un certificat certifiant amazon.ga et commencer à encaisser les achats avec mon clone d'amazon. Ca marchera sans trop de soucis, et je me ferai escroc mais riche.

Un vrai certificat en qui on peut avoir confiance certifie le détenteur du certificat.
contre-exemple (ou mauvais exemple) : https://www.amazon.fr/
avec firefox, double-clickez sur le cadenas dans la barre d'adresse, vous verrez que le "détenteur est inconnu". En visualisant les détails, vous verrez "Ce site web ne fournit pas d'informations sur son propriétaire"
Seul le domaine est certifié, on ne sait pas qui (personne morale ou physique) est derrière ce domaine.
Pareil pour https://cfspart.impots.gouv.fr ou https://www.google.fr/...

On ne sait pas quelles sont réellement les sociétés derrière

Pour amazon.fr pas de soucis en principe (quoique...), mais vous voyez le principe pour monter une pompe à pognon.

D'autres sociétés utilisent des certificats EV pour Extended Validation. C'est le top de nos jours. On vérifie la société, des personnes physiques de cette société, avec des rencontres en visuel réel, humain, plus tout un tas de paperasses.
cadenas vert et nom de la société en vert dans la barre d'URL

https://www.verisign.com/ avec comme société identifiée et certifiée Symantec. Bon mauvais exemple, ils se certifient eux-même, mais quand même, on voit un domaine et la société qui porte ce domaine.
FDJ https://www.fdj.fr
Ca c'est du sérieux et on est dans les 200-400 € pour une URL.

Au milieu pour environ 100-200 € on a les certificats qui certifient l'identité du détenteur, sans être EV, mais avec un bon niveau de vérification, avec une composante humaine. On voit l'identité du propriétaire du certificat en double-cliquant sur le cadenas.

Les organismes de certifications et les délégataires locaux publient leurs politiques de certification, donc leurs procédures, en plus de tous les process techniques de révocation ou autre.

Enfin on peut certifier des personnes, des identités sous forme électronique. Je suis moi-même détenteur d'un certificat qui me permet de signer (et chiffrer) mes mails, et surtout d'accéder à certaines de mes applis pour lesquelles j'ai mis en place un système d'authentification PKI.
Pour s'identifier sur ces applis, vous devez détenir un certificat émis par la société tiers de confiance que j'ai choisi, qui vous fait passer par toute une procédure d'authentification et de certification de votre identité, personelle et pro, avec coup de téléphone et tout le cinéma administratif. C'est assez chiant.
Mais si vous ne présentez pas au minimum un certificat reconnu par mon serveur à l'appli en https, vous n'affichez absolument rien d'autre qu'une erreur 403.
C'est un système assez sur je trouve.

Pour les certificats, il existe des certificats wildcard (on certifie tous les sous-domaines de la forme *.domaine.com mais pas ceux de la forme *.*.domaine.com), environ 200€ pour la seule certification du domaine et le double quand on certifie la société propriétaire du domaine. Ca n'existe pas en EV je crois
Et des certificats multi-extension (.com, .fr, .eu,...). Ca ça existe en EV.

[Neckara]

Merci pour votre réponse je comprend un peu mieux.

Pour les certificats, il existe des certificats wildcard (on certifie tous les sous-domaines de la forme *.domaine.com mais pas ceux de la forme *.*.domaine.com), environ 200€ pour la seule certification du domaine

200€
Il y a clairement des abus dans les prix...

C'est quand même assez embêtant quand on veut faire un petit site avec plusieurs sous-domaine d'avoir des messages d'avertissement car les certificats pour le https ( ex : connexion d'un membre), le serveur mumble, le serveur truc, le serveur machin ont des certificats auto-signés.

Pourquoi est-ce que certifier le domaine ne pourrait pas certifier automatiquement tous les sous-domaines ? J'ai dû mal à comprendre la logique.

[ram-0000]

Pourquoi est-ce que certifier le domaine ne pourrait pas certifier automatiquement tous les sous-domaines ? J'ai dû mal à comprendre la logique.

Peut etre parce en dns, on peut justement deleguer un sous domaine a une autre personne et a ce moment la, la certification ne veux plus rien dire

[Neckara]

Peut etre parce en dns, on peut justement deleguer un sous domaine a une autre personne et a ce moment la, la certification ne veux plus rien dire

Ben il suffit juste de copier la clé sur les différents sous-domaines non?
Ainsi on prouve que le sous-domaine appartient bien au domaine X et que le domaine X est bien le domaine X.

De plus, selon le port, on peut aussi déléguer à d'autres personnes/serveurs (ex mumble, http, 8080, ftp, ...).

Au final, je ne vois pas trop la différence entre certifier un domaine et certifier un sous-domaine. Normalement, le navigateur reçoit du serveur web un message puis il demande à l'autorité de certification si le domaine est bien correct (gross-modo) ?

[Miistik]

Ben il suffit juste de copier la clé sur les différents sous-domaines non?
Ainsi on prouve que le sous-domaine appartient bien au domaine X et que le domaine X est bien le domaine X.

Cette solution ne me paraît pas envisageable.

1) Imagine un hébergeur qui possède un domaine.
Il ne peux garantir la sécurité des sous-domaines clients.

2)Si cela s'applique, imagine les problèmes avec les TLD.
Un TLD ne peut assumer la sécurité des sous-domaines liés.

[Neckara]

Cette solution ne me paraît pas envisageable.

1) Imagine un hébergeur qui possède un domaine.
Il ne peux garantir la sécurité des sous-domaines clients.

Comme ses clients n'auront pas la clé privée (?), la page ne devrait rien "émettre" en théorie donc oui le sous-domaine ne sera pas sécurisé mais c'est voulu par l'hébergeur.

2)Si cela s'applique, imagine les problèmes avec les TLD.
Un TLD ne peut assumer la sécurité des sous-domaines liés.

Pourquoi un TLD utiliserait un certificat ?
On ne peut pas accéder à http://www.fr par exemple.

[fredoche]

les explications techniques sous-jacentes à cela, je ne les ai pas.

Ce que je sais,c'est qu'on peut certifier un sous-domaine (www.domaine.com par exemple) avec un simple certificat pour 100€ environ (ou gratuit), plusieurs sous-domaines (www, images, static, dynamic, private etc. ) pour 200€ environ

Mieux vaut le second quand on commence à multiplier les machines, et/ou les hostnames. Ca a un intérêt au niveau du tarif, mais aussi au niveau des IPs, la 1ère solution t'oblige à avoir une IP par sous-domaine, pas la seconde. Tu peux sur la même IP (ou plusieurs) utiliser ce même certificat et traiter tes hostnames comme tu le ferais en http.
Visiblment c'est lié à la norme https, mais je n'ai pas détaillé.

Et de la même façon, le wildcard c'est restreint par la norme au seul 1er niveau de sous-domaine. RFC2818
http://tools.ietf.org/html/rfc2818#section-3

Matching is performed using the matching rules specified by
[RFC2459]. If more than one identity of a given type is present in
the certificate (e.g., more than one dNSName name, a match in any one
of the set is considered acceptable.) Names may contain the wildcard
character * which is considered to match any single domain name
component or component fragment. E.g., *.a.com matches foo.a.com but
not bar.foo.a.com. f*.com matches foo.com but not bar.com.

et pour le tarif, la société qui porte ce domaine n'est pas elle certifiée, propriétaire non certifié.

On se contente de certifier des URLs, pas des sociétés ou des personnes fournissant un service ou un contenu.

Ca offre beaucoup d'opportunités pour contribuer aux tentatives de phishing

[Neckara]

On se contente de certifier des URLs, pas des sociétés ou des personnes fournissant un service ou un contenu.

Ca offre beaucoup d'opportunités pour contribuer aux tentatives de phishing

En même temps, vu le nombre de personnes qui font attention à l'URL, je doute sincèrement que les utilisateurs vont cliquer sur le cadenas pour regarder le nom de la société

Mais je trouve que les certificats sont surtout adressés à des professionnels et pas à des particuliers qui feraient de l'auto-hébergement vu les prix, c'est dommage.
200€/ans c'est déjà énorme