Bonjour,
Premier post ici (j'espère ne pas ma gaufrer dans la procédure).
Je plussoie Artur, la dimension technique (crypto et mise en service) est anecdotique dans le cadre de la mise en œuvre sur un site business. Un EV est validé par l'organisme qui le délivre en vérifiant l'existence de la personne morale derrière la boutique. L'argument n'est pas que marketing, il étend la chaine de confiance au-delà de la dimension technique vers la sphère business.
Pour ceux que ça intéresse, sont check:
Les infos du whois du FQDN via une prise de contact directe avec le registrant ( demande de KBIS par exemple, et ça implique évidemment que toutes les informations du whois, y compris tel, nom des contacts, mails sont fonctionnel et valides.).
(si vous voulez plus de détails, dites le moi, je déterrais les procédures!)
Toodles!
Ed.
-----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de frsag-request@frsag.org Envoyé : mercredi 13 septembre 2017 15:00 À : frsag@frsag.org Objet : Lot FRsAG, Vol 309, Parution 5
Envoyez vos messages pour la liste FRsAG à frsag@frsag.org
Pour vous (dés)abonner par le web, consultez http://www.frsag.org/mailman/listinfo/frsag
ou, par email, envoyez un message avec 'help' dans le corps ou dans le sujet à frsag-request@frsag.org
Vous pouvez contacter l'administrateur de la liste à l'adresse frsag-owner@frsag.org
Si vous répondez, n'oubliez pas de changer l'objet du message afin qu'il soit plus spécifique que "Re: Contenu du digest de FRsAG..."
Thèmes du jour :
1. Re: Certificat Web Marchand (Artur) 2. Re: Certificat Web Marchand (Julien Escario) 3. Re: Certificat Web Marchand (Jonathan Leroy) 4. Re: Certificat Web Marchand (Julien Escario) 5. Erreur SMTP aléatoire (Analogx)
----------------------------------------------------------------------
Message: 1 Date: Wed, 13 Sep 2017 14:36:26 +0200 From: Artur frsag@pydo.org To: frsag@frsag.org Subject: Re: [FRsAG] Certificat Web Marchand Message-ID: ad1b4c4a-ef2c-5992-cdfa-930744c18458@pydo.org Content-Type: text/plain; charset=utf-8
LE ne fera jamais gratuitement quelque chose qui nécessite du temps humain et qui ne peut pas être automatisé.
Et ce n'est pas parce que Mme Michu ne comprend rien à Internet qu'on doit tout niveler par le bas. A ce que je sache il n'y a pas que des Mme Michu qui utilisent Internet.
Mme Michu aurait pu écrire ton dernier paragraphe, d'ailleurs. :) La différence entre les différents certificats consiste essentiellement dans les vérifications qui sont faites avant que celui-ci ne soit fabriqué/délivré... ou pas. C'est du temps passé et ça a un cout, oui. De toute manière ce n'est pas un sysadmin qui doit choisir quoi mettre comme certificat, c'est celui qui est responsable d'une plateforme d'e-commerce selon ses propres préoccupations et celles de ses clients.
Le 13/09/2017 à 12:50, Jonathan Leroy a écrit :
Let's Encrypt ne le fait pas, et ne le fera jamais pour une bonne raison (parmi d'autres) : l'utilisateur lambda ne fait pas la différence entre un certificat SSL DV et EV. Notamment parce qu'on lui a longtemps appris que "si y'a un cadenas, c'est bon". Y'a pas de certificat "basique". Cryptographiquement parlant, un certificat DV/OV/EV c'est la même chose. Ce qui change c'est l'emballage marketing, et du coup le prix.
-- Cordialement, Artur.
------------------------------
Message: 2 Date: Wed, 13 Sep 2017 14:37:19 +0200 From: Julien Escario escario@azylog.net To: frsag@frsag.org Subject: Re: [FRsAG] Certificat Web Marchand Message-ID: c3f56edb-4fc5-ad53-7b46-e5c9b47e63c6@azylog.net Content-Type: text/plain; charset="utf-8"
Le 13/09/2017 à 14:29, Arnaud Launay a écrit :
Après, si Thawte propose un EV wildcard, je l'ai pas trouvé sur leur site...
PERSONNE ne fait de EV Wildcard. Ce serait bien trop dangereux en terme de sécurité.
Julien
-------------- section suivante -------------- Une pièce jointe autre que texte a été nettoyée... Nom: smime.p7s Type: application/pkcs7-signature Taille: 3705 octets Desc: Signature cryptographique S/MIME URL: http://www.frsag.org/pipermail/frsag/attachments/20170913/f88db15d/attachment-0001.bin
------------------------------
Message: 3 Date: Wed, 13 Sep 2017 14:50:27 +0200 From: Jonathan Leroy jonathan@unsigned.inikup.com To: Artur frsag@pydo.org Cc: French SysAdmin Group frsag@frsag.org Subject: Re: [FRsAG] Certificat Web Marchand Message-ID: CAC88fzEGgb_U03miP9tz4ziSZ4wk9v=ta6OkmU+HYQZJdnd0DQ@mail.gmail.com Content-Type: text/plain; charset="UTF-8"
Le 13 septembre 2017 à 14:36, Artur frsag@pydo.org a écrit :
LE ne fera jamais gratuitement quelque chose qui nécessite du temps humain et qui ne peut pas être automatisé.
Aussi. C'est pour ça que j'ai mis "(parmi d'autres)".
Et ce n'est pas parce que Mme Michu ne comprend rien à Internet qu'on doit tout niveler par le bas. A ce que je sache il n'y a pas que des Mme Michu qui utilisent Internet.
L'EV a été crée pour le grand public justement. Les techs, eux, peuvent aller farfouiller dans les menus de leur navigateur pour vérifier les données du certificat.
Le problème est que le but n'est pas atteint, puisque les gens lambda ne font pas la différence entre EV et non-EV. Donc ça ne sert à rien. D'où sa disparition prochaine de Chrome.
Mme Michu aurait pu écrire ton dernier paragraphe, d'ailleurs. :) La différence entre les différents certificats consiste essentiellement dans les vérifications qui sont faites avant que celui-ci ne soit fabriqué/délivré... ou pas. C'est du temps passé et ça a un cout, oui. De toute manière ce n'est pas un sysadmin qui doit choisir quoi mettre comme certificat, c'est celui qui est responsable d'une plateforme d'e-commerce selon ses propres préoccupations et celles de ses clients.
On est bien d'accord sur le fait que la validation humaine prends du temps et coûte donc de l'argent, qui justifie donc le coût d'un certificat OV/EV sur le papier.
Ce que je dis, c'est que SSL n'est pas fait pour ça. Un certificat sert à sécuriser une connexion, pas à certifier l'identité de la personne au bout du fil. Donc vendre des certificats OV/EV, ça n'a aucun sens dans 99 % des cas. Mais c'est pourtant ce qui est mis en avant par la plupart des CA, car c'est ce qui leur rapporte le plus. À grand coups de bullshit marketing, donc.
Et je ne parle même pas des "assurances" dont personne n'a jamais vu la couleur. En gros pour toucher le pactole en cas de hack, il te faut prouver que c'est une faille cryptographique dans le certificat qui l'a permis. Cas hautement improbable et dans tous les cas impossible à prouver.