Discussion :

[fredoche]

bah oui j'en suis fort conscient

Et même s'il l'ouvre, le fait que le propriétaire soit inconnu va alerter qui ?

Objectivement sans trop m'être penché sur la question, je pense que la norme devrait évoluer afin que les navigateurs puisse distinguer ce niveau de certificat d'un niveau supérieur certifiant le propriétaire. Ca me parait pas si difficile, puisque le navigateur t'indique clairement l'absence de ce champ.

Un certificat EV est différencié à juste titre (couleur verte, nom de la boite)... mais qui fait vraiment attention à cette différence, sinon un mec comme moi ?

[manticore]

Plusieurs ajout à cette discutions, mettre un extended certificat pour un petit site ne sert à rien. Et je suis assez peu convaincu que M. Michu fasse attention à la couleur du certificat

J'ai donné plusieurs cours pour utilisateurs débutants, et l'objectif est déjà de les faire regarder le cadenas et l'URL. Si on est bien sur XXX.fr et que le cadenas et la c'est bon.

Pour ce qui est des sous-domaine c'est une question commerciale.

Pour ce qui est du coût n'oublie pas que l'infrastructure, les certifications, la sécurité et la gestion d'une autorité de certification c'est 10X plus critique que le site de n'importe quelle banque.

Dans ton cas :

- As-tu besoin de SSL ? (généralement si tu as une partie de ton site authentifié)

Si oui tu as deux choix :
- Prendre un certificat
- Auto-signer (attention par contre tous les utilisateurs auront un gros message d'avertissement ce qui est contre productif). Mais le trafic est chiffré.

[manticore]

Objectivement sans trop m'être penché sur la question, je pense que la norme devrait évoluer afin que les navigateurs puisse distinguer ce niveau de certificat d'un niveau supérieur certifiant le propriétaire. Ca me parait pas si difficile, puisque le navigateur t'indique clairement l'absence de ce champ.

En allant dans cette voie tu vas juste déplacer le problème. Imagine que l'on dise maintenant le propriétaire de ce site n'est pas contrôlé.

Alors toutes les demandes de certificats devront se faire par la voie officiel (je sais plus quelle est la procédure, mais je crois qu'il s'agit d'un courrier notarié ou du registre du commerce). Le prix des certificats monte du coup en flèche.

Ton exemple avec Amazone montre juste une technique de phishing plus difficile à mettre en oeuvre. C'est plus simple de simplement faire un clone http avec une faute de frappe