Ma première question fait débat...on continue :-)
On sait tous que les certificats fournis par DigiCert et autres
autorités de certification fournissent une assurance pouvant
vous/nous indemniser à hauteur de centaines de milliers d'euros.
Quelqu'un a-t-il eu besoin un jour de faire valoir cette assurance ?
Comment peut-on prouver que la faute vient de l'autorité de
certification pour être indemniser ?
Il semble que tout ce joue dans la qualité des hashage des PKI et
de la rigueur de la CA a bien vérifier l'identité du demandeur du certificat.
Si les grands sponsors de Letsencrypt ont fait les choses "bien". Les hashages
sont sérieux, le risque de casse est donc très faible (ou aussi faible que celle
d'une CA payante type DigiCert)
Donc outre le problème de SNI, wildcard et de validation d'ACME par le Web
(qui n'est peut-être pas des plus simples lorsque l'on prend un certificat
LetsEncrypt pour son serveur de Mail...et si le courrielleur reconnait LetsEncrypt),
il semble que sur le plan purement technique (cad PKI) il y ait peut de différence
entre LetsEncrypt et un Thawte par exemple......reste l'assurance
Je ne sais pas si commercialement cela un impact pour vous dans
la vente des certificats à vos clients.
--
Jean-christophe PAROLA
Le mercredi 14 février 2018 à 14:21 +0100, Julien Escario a écrit :
Blague mise à part : Let's Encrypt n'est pas dénué de critiques. Le fait qu'un
certain nombres de cadors soutiennent le projet n'a jamais été gage de confiance
absolue. Il suffirait que le projet souffre d'un déficit d'image pour une raison
x ou y pour que ces gens là se retirent rapidement pour ne pas être associés au
problème.
Il y a aussi des arguments économiques.