Certificat SuperCert SGC - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 01-08-2007 à 19:14:17
en fait, un certificat, c'est simplement une histoire de confiance ... car si je prends IE par exemple, tous les certificats de venant de verisign sont autorisés, et tous les autres rejetés mais l'utilisateurs peut toujours le valider.
Toi, tu crée ton certificats avec Windows 2003 et il ne sera pas certifié par verisign, donc les gens utilisant IE auront à chaque fois un message disant que "blabla" et ils n'auront qu'a cliquer sur "autoriser tout de meme" ...
En bref, les certificats dis "valides" ne sont que des histoires de pognons et de buisness ... et surtout, de "clics en moins" ..., moi je considère ca réelement comme de la vente forcée ...
Apres le certificats fait son boulot qu'il soit ou non, vérifié/validé ...
Marsh Posté le 01-08-2007 à 19:47:27
Le boulot du certificat c'est pas juste de permettre de faire du ssl, c'est aussi d'assurer que la personne avec qui elle communique est bien celle qu'elle prétend, et c'est la qu'un certif validé par un des CAs reconnu comme étant de confiance comme Verisign & co prend toute sa valeur : le certif auto-signé par Windows c'est bien gentil, mais tout ce qu'il dit c'est "je suis machin, sisi je vous jure j'ai pas vraiment de preuve mais il faut me croire", alors qu'absolument n'importe qui peut créer un certificat autosigné se prétendant être absolument qui il veut sans aucun controle.
Si tu vois vraiment pas de différence entre ça et un certif dont tu peux être sur que si il dit "je suis le serveur machin de la société pepita8 SA" c'est que c'est vrai, revise tes cours de sécu Les certifs auto-signé c'est juste interessant pour des utilisations en interne, pas pour des utilisation publique, a fortiori dans le cadre d'une relation commerciale...
Sinon pepita la différence entre les 2 est le support du SGC par le SuperCert SGC, qui permet en gros de faire du crytapge a 128 bits meme avec en face des navigateur qui serait limité reglementairement a du 40bits ou 56bits en ssl mais serait compatible SGC. C'etait +- interessant du temps ou les gouvernement etait ultra restrictif sur l'utilisation et l'export des outils de cryptage et limitait fortement les puissances autorisées (remember IE sous NT4...), mais a l'heure ou tout ça c'est largement assoupli et ou n'importe quel navigateur a moitié décent supporte au moins le ssl 128 bits c'est du gadget.
Marsh Posté le 01-08-2007 à 20:25:36
+1 pour el pollo
certificats selfsigned = test en interne et sur un site public = charlots
+1 aussi pour ne pas autoriser les weak cipher des navigateurs...
Marsh Posté le 19-05-2010 à 14:18:24
shreckbull a écrit : en fait, un certificat, c'est simplement une histoire de confiance ... car si je prends IE par exemple, tous les certificats de venant de verisign sont autorisés, et tous les autres rejetés mais l'utilisateurs peut toujours le valider. |
Tu oublie quand même le rôle premier d'un certificat serveur, c'est être sûr de l'identité du site sur lequel tu te connectes,
exemple: le site de ta banque est vraiment ta banque et non un site de hacker qui va récupérer ton numéro de CB ou se faire un virement au passage
C'est ce qu'on appelle le phishing (côté navigateur) ou le pharming (côté serveur)
Certificatautosigné = aucune garantie (nimporte qui peut le faire)
Vs
Certificat estampillé par verisign (ou autre) = garantie de l'identité (Kbis de l'entreprise, etc...)
Pour ce qui est des exceptions "autoriser quand même", ca ne devrait même pas exister pour des utilisateurs standards,
firefox a été le premier a mettre un grand bandeau et à complexifier l'exception,
mais pour moi ca devrait en plus être une option à cocher dans les préférences destiné aux développeurs web et autre techniciens ...
Marsh Posté le 01-08-2007 à 18:24:44
Bonsoir,
Je dois me décider entre deux certificats à acheter, je travaille pour une société.
J'hésite entre le certificat SuperCert SGC de thwate et le SSL123 de thwate.
Il sera installé sur un extranet ou les clients pourront voir certains prix calculés de façon exclusive pour eux et des factures.
lequel choisir etant donné qu il ne s'agit pas non plus de paiement en ligne (et que le budget n'est pas limité)?
merci