Le 14 septembre 2017 à 09:28, David Ponzone david.ponzone@gmail.com a écrit :
J'ai peut-être raté une partie de l'échange mais il me semble qu'il a été rappelé que les certificats plus coûteux incluent généralement une garantie financière plus ou moins importante couvrant le client du site marchand en cas de faille dans le certificat. C'est donc une assurance, et comme toute assurance, on paie pour dans la majorité des cas ne jamais en avoir besoin, ce qui permet de rembourser les rares qui subissent le dommage.
Sauf que les contrats sont faits de telle façon que l'assurance ne s'applique jamais, car il te faut prouver que c'est une faille cryptographique dans le certificat qui a permis l'incident. Quasi-impossible dans la pratique.
Mais bon, admettons que tu as dans ta boîte un expert en crypto, qui arrive effectivement à prouver que le certificat contient une faille cryptographique.
Par exemple en découvrant une faille encore inconnue dans OpenSSL. Paf, le CA utilise une version d'OpenSSL impactée par cette faille et le certificat qu'il a généré contient effectivement une faille cryptographique. Tu arrives à prouver je ne sais pas trop comment que cette faille a été utilisée par des hackers pour voler les mots de passe de tes clients transitants sur le réseau. À toi le jackpot !!
Ah ben non. Parce qu'en fait il y a plein d'exclusions dans le contrat d'assurance, notamment les "circonstances exceptionnelles". Et le CA te dira qu'une faille d'OpenSSL qui touche des millions de serveurs ben c'est une circonstance exceptionnelle. Alors oui c'est discutable. Tu peux aller au tribunal pour toucher ton chèque mais ça va prendre des années.
À ma connaissance, aucune des principales AC n'a jamais indemnisé un client sur la base de l'assurance fournie avec le certificat. Ça m'a également été confirmé par un ex-employé d'une AC française : l'assurance n'a jamais indemnisée personne chez eux et tout est fait pour que ça n'arrive pas.