Pourquoi devrais-je payer pour un certificat SSL?


62

J'ai payé un certificat SSL de Namecheap, je pense qu'il a été certifié par ComodoSSL. Cela m'a coûté 7 $, il leur a fallu une semaine pour s'activer et je devais le faire moi-même depuis SSH lors de l'édition des fichiers de configuration de mon site.

Ensuite, un ami m'a informé de Let's Encrypt, qui non seulement distribue des certificats SSL gratuits, mais ils peuvent également être installés en exécutant une seule commande.

Je suis sûr qu'il me manque quelque chose ici, mais pourquoi devrais-je payer pour un certificat SSL alors que je peux en installer un facilement, gratuitement, avec le renouvellement automatique configuré?


2
Cette question est apparue récemment et concerne essentiellement la même question: security.stackexchange.com/questions/45491/… La réponse validée récemment mise à jour récemment est toujours valable. Mais dans toutes les réponses, je suis triste de ne voir personne expliquer les différences entre les prix et les coûts et le rapport valeur / valeur (garanties et assurances associées - à croire ou non, etc.)
Patrick Mevzek

Je peux voir en payer un pour lequel il existe une analyse de rentabilisation pour la validation étendue, etc. afin d’avoir le nom de la société à côté du cadenas, etc. Du point de vue technique, il n’ya aucune raison réelle de le faire.
ivanivan

La réponse complète peut être résumée par cette phrase de la réponse de marcelm , "Pour qu'un certificat ait un sens, l'autorité de certification émettrice doit être approuvée par les fournisseurs de logiciels, sinon le certificat est inutile." Un certificat est validé par un tiers fête. Si vous croyez que Let's Encrypt ne fera jamais défaut et ne sera jamais piraté, vous en tirerez de la valeur. Mais la raison pour laquelle les gens paient, c'est qu'ils sont plus vrais que les autres. Aussi simple que cela.
JakeGould

"Tout le certificat est son cryptage validé par un tiers" n'a pas de sens. Un certificat n'est pas crypté, il est d'abord signé . @JakeGould
user207421

Je suis surpris que personne ne l'ait encore dit: "faire passer quelque chose de légitime quand on cible des entreprises qui traitent avec soupçon un cryptage avec suspicion".
Alec Teal

Réponses:


82

Pourquoi devrais-je payer pour un certificat SSL?

Pour la plupart des utilisations, il n'y a pas de bonne raison de les payer.
Voir tout en bas pour un résumé des exceptions.

Faisons un pas en arrière et expliquons ce que font les certificats et comment.

Ce que l’on appelle communément "certificats" est constitué de deux éléments liés:

  • Le certificat proprement dit , qui contient une clé publique et une identification (telle qu'un nom de domaine).
  • La clé privée , qui permet au titulaire (et uniquement au titulaire) de signer numériquement les messages de manière à ce qu'ils puissent être vérifiés à l'aide du certificat ci-dessus.

Si vous voulez un certificat pour yourdomain.com, vous:

  • Créez une paire de clés privée / publique et conservez la partie privée.
  • Demandez à un tiers de confiance ("CrediCorp") de créer un certificat yourdomain.comavec votre clé publique.
  • Prouvez d'une certaine manière à CrediCorp que vous contrôlez yourdomain.com.
  • Placez la clé privée et le certificat obtenu sur votre serveur, puis configurez le serveur Web pour les utiliser.

Ensuite, si Alice visite yourdomain.com, son navigateur obtient le certificat de votre serveur Web, ainsi qu'un message signé par votre clé privée. Ensuite, son navigateur vérifie trois choses:

  • Que le message signé puisse être vérifié par votre certificat (en prouvant qu'il a été signé par la clé privée correspondante qui yourdomain.comdevrait l'être).
  • Que le domaine du certificat est le domaine que le navigateur tente de visiter ( yourdomain.com).
  • Que le certificat provient de CrediCorp.

La combinaison de ces trois éléments garantit à Alice avec qui elle parle yourdomain.com, et non à un imposteur… À condition qu’elle fasse confiance à CrediCorp .

(Il y a également une danse crypto vaudou pour transformer cette authenticité en confidentialité.)

Comment ne faire confiance Alice Credicorp?

C'est le vrai noeud ici. En bref, CrediCorp a dit à un moment donné "Hé, nous allons faire des certificats". Après avoir déployé beaucoup d'efforts conformément à de nombreuses règles , ils ont réussi à convaincre certaines personnes que CrediCorp est digne de confiance et qu'elles n'émettront que des certificats correctement.

En particulier, ils ont réussi à convaincre les fabricants de, par exemple, Firefox. En conséquence, CrediCorp est inscrit dans la liste A de Firefox et ses certificats sont approuvés par Firefox par défaut. Alors vraiment, Alice fait confiance à Firefox, que Firefox fait confiance à CrediCorp et que CrediCorp vous a fait confiance (après avoir vérifié) lorsque vous avez affirmé que vous contrôliez yourdomain.com. C'est presque comme une chaîne .

Mais Firefox ne fait pas seulement confiance à CrediCorp pour l’émission de certificats yourdomain.com, il fait confiance aux certificats CrediCorp pour n’importe quel domaine. Et Firefox fait également confiance à ShabbyCorp, pour tous les domaines.

Cela a des conséquences. Si quelqu'un parvient à convaincre ShabbyCorp de contrôler yourdomain.com(parce que ShabbyCorp n'est pas très complet), il peut alors obtenir un certificat ShabbyCorp yourdomain.comavec la clé privée correspondante. Et avec ce certificat, ils pourraient emprunter l'identité de votre serveur Web. Après tout, ils ont un certificat (plus la clé) pour yourdomain.comque cela soit approuvé par Firefox!

CrediCorp et ShabbyCorp sont ce qu'on appelle des autorités de certification , ou CA en abrégé. Dans la réalité, ComodoSSL et Let's Encrypt sont des exemples de CA. Mais il y en a beaucoup plus; à ce jour, Firefox fait confiance à 154 autorités de certification .

Whoa. Mais comment cela répond-il à ma question?

Je suis ehm, arriver à ça ...

Voici la chose. Les mécanismes que j'ai décrits ci-dessus s'appliquent à tous les certificats. Si vous avez un certificat correct et fiable pour votre site Web, cela fonctionnera. Il n'y a rien de spécial entre les certificats de marque A et les certificats de marque B; ils sont tous soumis aux mêmes exigences en matière de certification et aux mêmes méthodes cryptographiques.

Et même si vous aimez mieux CrediCorp - parce que vous savez, ils sonnent tellement plus digne de confiance - leur utilisation ne vous aidera pas vraiment. Si un attaquant parvient à convaincre ShabbyCorp de lui attribuer un certificat pour votre site, il peut utiliser ce certificat pour emprunter l'identité de votre site, où que vous vous trouviez.

Tant que Firefox fait confiance à ShabbyCorp, les visiteurs ne verront pas la différence. (Oui, les visiteurs pourraient obtenir le certificat et y creuser pour voir qui l'a délivré. Mais qui le fait?) En ce qui concerne la falsification de certificats, le système tout entier est aussi faible que le plus faible des plus de 150 CA. Pourquoi oui, c'est effrayant, et il est probablement le plus grand de gens critique ont de ce régime tout entier. Pourtant, c'est ce avec quoi nous sommes coincés.

Le fait est que si vous ne faites pas confiance à une autorité de certification pour la délivrance de "bons" certificats, obtenir vos certificats ailleurs ne vous aide pas beaucoup.

Gotcha, tout est également condamné. Aucune mise en garde?

Weeeelllll ...

  1. Commençons par tuer ce que j'ai dit dans la dernière section. De nos jours, il est possible de verrouiller votre domaine uniquement sur les autorités de certification de votre choix à l' aide de DNS-CAA . Supposons que vous fassiez confiance à Comodo et à d’autres autorités de certification, il est possible de demander à toutes les autorités de certification autres que Comodo de ne pas émettre de certificats pour votre domaine. En théorie. (DNS-CAA n'étant pas vérifié par les navigateurs, uniquement par les autorités de certification émettrices. Une autorité de certification compromise peut donc ignorer cette protection.)

    Si vous êtes prêt à traverser cette période difficile, la question devient alors: est-ce que Let's Encrypt est réellement moins fiable? Ou moins sécurisé? La fiabilité est difficile, comment le quantifiez-vous? Tout ce que je peux dire, c’est que, selon ma perception , Encrypt n’est pas moins fiable que les autres autorités de certification. En ce qui concerne la sécurité de leurs validations, elles sont très similaires à ce que font les autorités de certification commerciales (pour les certificats DV de toute façon). Voir aussi cette question .

    Pour ce que cela vaut: le réseau StackExchange, dont ce site fait partie, utilise actuellement des certificats Let's Encrypt. La plupart des gens ne le remarqueraient jamais, et s'ils le faisaient, je doute sincèrement que cela aurait beaucoup de sens pour eux.

  2. Pour qu'un certificat ait un sens, l'autorité de certification émettrice doit être approuvée par les éditeurs de logiciels , sinon le certificat est inutile. J'ai utilisé Firefox à titre d'exemple, mais vous souhaitez réellement que les versions actuelles et légèrement plus anciennes de Firefox, Chrome, Windows, Mac OS X, iOS et Android fassent confiance à l'autorité de certification. Et les dizaines de plus petits joueurs. Les CA qui valent la peine d'être prises en compte (qui incluent ComodoSSL et Let's Encrypt) sont approuvés par toutes ces entités.

  3. Si une autorité de certification se comporte mal ou se révèle indigne de confiance, elle sera retirée des divers magasins de confiance suffisamment rapidement pour gâcher la journée des détenteurs de certificats. Je connais deux exemples notables: DigiNotar et StartCom / WoSign (consultez les articles, ils fournissent des informations intéressantes sur la dynamique de la confiance!). Donc, si vous pensez que Let's Encrypt va échouer, ou sera abandonné pour une autre raison, ne pas les utiliser vous évitera de vous faire prendre à cette éventualité.

  4. Les certificats utilisent un peu de magie crypto mathématique ; la question est quelle crypto math magie ? Et si c'est de la magie faible? En réalité, il s’agit d’une préoccupation réelle, et les autorités de certification ont également montré qu’elles traînaient sur la modernisation. Heureusement, les éditeurs de navigateurs ont pris le relais en fixant des minimums pour que les certificats soient acceptés. Par exemple, les certificats utilisant RSA-1024 ou SHA-1 sont maintenant rejetés par la plupart des navigateurs. Par conséquent, aucun certificat fonctionnant dans la pratique n'utilise ces crypto primitives déconseillées. Le résultat est qu’il est très difficile pour une autorité de certification (Let's Encrypt incluse) de décevoir davantage sur cette partie.

  5. Auparavant, j'ai plus ou moins dit que tous les certificats sont créés égaux. J'ai menti, ils ne sont pas. En particulier, ce que j'ai discuté jusqu'à présent sont les " certificats validés par le domaine ", qui sont utilisés par la grande majorité des sites Web. Ils fournissent une mesure de certitude que votre navigateur communique réellement avec le domaine indiqué dans la barre d'adresse. Il existe également des certificats "Organisation validée (OV)" et " Validation étendue (EV)", qui nécessitent des contrôles beaucoup plus élaborés de la part des autorités de certification. En particulier, vous ne devriez pouvoir obtenir un certificat EV pour somebank.com/ SomeBank Inc., si vous pouvez réellement prouver que vous êtes SomeBank, Inc.

    Les certificats EV sont beaucoup plus coûteux à obtenir (coût approximatif: des centaines d'EUR / USD par an), et peuvent être récompensés par une barre d'URL verte ou un cadenas dans le navigateur, affichant peut-être "SomeBank, Inc.". ainsi que. Contrairement aux certificats DV, ils permettent également de savoir à qui le site Web pourrait appartenir. L'avantage est qu'ils peuvent sembler plus légitimes. La déception est que les utilisateurs font rarement attention à eux, leur efficacité est donc limitée.

    Un attaquant avec un certificat DV falsifié peut toujours emprunter l'identité du site, sans l'indicateur visuel supplémentaire qu'un certificat EV peut offrir, et les utilisateurs ne remarquent généralement pas la distinction. Inversement, il est possible d’ obtenir un certificat EV trompeur pour faciliter l’hameçonnage. En conséquence, Chrome et Firefox laisseront tomber leurs signes visuels aux certificats EV, et certaines personnes croient qu'elles disparaîtront complètement.

    Si vous êtes une banque, vous voulez probablement toujours un certificat EV pour le moment. Sinon, pas tellement. Mais si vous avez besoin d' EV, le Crypter Let est pas pour vous parce qu'ils ne proposent pas seulement des certificats EV.

  6. Les certificats ne sont valables que pour un temps limité . Les certificats d'un CA commercial typique ont tendance à être valides pour un an, mais j'ai vu quelque chose de trois mois à trois ans. Les certificats de Let's Encrypt sont valides pendant 90 jours , ce qui est un peu à côté de cette plage. Vous devrez donc les renouveler souvent. Pour les utilisateurs de Let's Encrypt, cette opération est généralement automatisée, de sorte que les certificats sont remplacés tous les 60 jours.

    Pouvoir automatiser le renouvellement avec des logiciels largement disponibles est en réalité plus agréable que l'année dernière, mon certificat a expiré? Quelle est ma connexion à la CA? Comment ça marche encore? rituel auquel la plupart des petits sites semblent aboutir dans des CA commerciales.

  7. Auparavant, j’appelais effrayant le fait qu’il y ait tant de CA auxquels nous devons tous faire confiance. Avoir plusieurs CA est également un avantage, en ce sens que le retrait d'un seul de nos magasins de clés de confiance a un impact limité sur les utilisateurs. En particulier, l’expulsion d’une seule autorité de certification n’affectera que les certificats émis par cette autorité de certification. Si tout le monde finit par utiliser une seule autorité de certification (ce que certaines personnes craignent avec Let's Encrypt ), nous y concentrons toute notre confiance et perdons les avantages de cette fragmentation.

  8. Enfin, une autorité de certification payante peut offrir d’ autres avantages , tels que le support commercial ou une garantie SSL d’ un million de dollars . Je crois peu à ces deux aspects, mais ce sont des choses que Encrypt ne propose pas.

Ma tête me fait mal… j'avais une question, je pense?

Utilisez ce avec quoi vous êtes à l'aise! Pour les certificats DV, peu de choses différencient les différentes autorités de certification. J'utilise Let's Encrypt de manière professionnelle et privée, et j'en suis satisfait.

Il n'y a en réalité que quatre raisons potentielles à éviter Let's Encrypt:

  • Si vous avez besoin de certificats EV (ou OV).
  • Si vous ne pouvez pas ou ne voulez pas automatiser le renouvellement du certificat et que sa validité est inférieure à trois mois, elle est trop courte.
  • Si vous ne faites pas confiance à Let's Encrypt (mais assurez-vous également de prendre en compte d'autres mesures telles que DNS-CAA, et vous devriez probablement ajouter Black Encryption à votre liste également).
  • Si vous pensez que Let's Encrypt sera abandonné ou supprimé des navigateurs pour une raison quelconque.

Si rien ne vous concerne, n'hésitez pas à ne pas payer vos certificats.


17
Notez que les certificats EV ne sont plus considérés comme utiles car les utilisateurs les ignorent. les navigateurs, notamment Chrome et sur les appareils mobiles, suppriment ou enterrent le texte vert et l’affichage du nom.
simpleuser

8
N'oubliez pas que vous ne demandez pas à un tiers de confiance de créer un certificat pour votre clé privée, mais plutôt pour la clé publique correspondante. Nitpick mineur, mais important. Votre clé privée ne quitte jamais votre système.
MechMK1

Les deux points positifs J'essayais de gérer le niveau de détail tout en restant correct, mais je devrais être plus clair sur ces deux points. J'ai mis à jour la réponse pour que j'espère refléter ces faits un peu mieux.
marcelm

4
Pour être plus précis, à partir de Chrome v77 (actuellement v67), Chrome n'affichera plus directement les certificats EV. Firefox (actuellement 68) prévoit de faire la même chose que v70.
knallfrosch

1
Et pour ajouter un troisième commentaire sur les certificats EV, Troy Hunt (ré) écrit un bon article expliquant pourquoi ils sont vraiment morts: troyhunt.com/…
Neyt

7

Let's Encrypt est supérieur à bien des égards, y compris ceux que vous avez mentionnés, tels que:

  1. C'est gratuit. Difficile de dépasser ça.
  2. Son renouvellement est automatique (cependant, je suis sûr que ce n'est pas exclusif à Let's Encrypt)
  3. C'est assez facile à mettre en place.
  4. Google le prend en charge en tant que SSL signé, ce qui représente un énorme problème en matière de référencement et de sécurité.

Cependant, il y a quelques inconvénients.

  1. Le système de vérification sur lequel il fonctionne pour s'assurer que vous possédez le site, n'est pas compatible avec certains hébergeurs de sites Web, j'ai eu pas mal de maux de tête en essayant de faire travailler Let's Encrypt sur InfinityFree et j'ai simplement accepté le destin. que je ne pouvais pas le faire.
  2. Vous ne bénéficiez d'aucun type d'assurance mentionnant "Si cela se casse, nous vous aiderons" car il est open-source, vous êtes autonome si Let's Encrypt ne fonctionne pas ou est fissuré d'une manière ou d'une autre.

"Le système de vérification qui fonctionne" Il s’agit d’un mécanisme standard, HTTP-01 et DNS-01, décrit par les exigences de l’IETF et du forum CAB. Toutes les autorités de certification sont liées exactement au même, pour les certificats DV.
Patrick Mevzek

10
"depuis que c'est open-source" C'est gratuit (comme dans la bière) pas opensource. L'API est standard (voir ACME dans IETF) et il existe des clients open source (et peut-être des serveurs).
Patrick Mevzek

4
"Il a un renouvellement automatique" Ce n'est pas Let's Encrypt tout seul. En tant que propriétaire du certificat, vous devez les contacter pour demander un renouvellement. Ils ne vous le poussent pas automatiquement. C'est un effet secondaire de l'utilisation d'un protocole automatisé tel que ACME pour la délivrance de certificats.
Patrick Mevzek

"Google le prend en charge en tant que SSL signé", pas seulement Google et vous avez probablement voulu dire qu'il le prend en charge (Encryptage) en tant que "CA de confiance" ("SSL signé" n'a pas de sens). Voir letisencrypt.org/2018/08/06/…
Patrick Mevzek

En ce qui concerne l'assurance sur les certificats X.509 utilisés pour les communications HTTPS, voir aussi security.stackexchange.com/questions/179415/… et scotthelme.co.uk/…
Patrick Mevzek

4

Les certificats LetsEncrypt sont excellents. Je les utilise moi-même au lieu d'acheter des certificats. Il y a quelques inconvénients:

  • Les certificats LetsEncrypt ne durent que 3 mois. La plupart des certificats achetés sont valables pour un ou deux ans. Cela signifie que vous avez absolument besoin d'un processus automatisé pour renouveler vos certificats, sinon il sera trop facile de l'oublier.
  • LetsEncrypt n'offre que le type de certificat de validation le plus bas. Domain Validation (DV) valide uniquement que le propriétaire du certificat a le contrôle du domaine. Les certificats de validation d'organisation vérifient également la documentation de la personne ou de la société demandant le certificat. Les certificats de validation étendue (EV) nécessitent des vérifications supplémentaires. Plus votre certificat est de qualité, plus il est difficile à contrefaire, et plus on peut faire confiance à l'authenticité de votre site. En pratique, les navigateurs ne font que pointer visuellement les certificats EV, en affichant généralement un élément en vert dans la barre d'adresse. Jusqu'à présent, la plupart des utilisateurs ne connaissaient ni ne s'intéressaient aux différents niveaux de validation.
  • Les certificats de cartes génériques sont un peu plus difficiles à obtenir de LetsEncrypt. En général, vous ne payez généralement plus d’argent. LetsEncrypt nécessite une validation DNS pour les certificats génériques.

Historiquement, les certificats de sécurité ont toujours coûté quelque chose. D'autres entreprises qui ont offert des certificats gratuits vont et viennent. J'avais l'habitude d'utiliser StartSSL qui offrait un certificat sans domaine unique jusqu'à ce qu'ils fassent des choses louches et que les navigateurs cessent de faire confiance à leurs certificats. LetsEncrypt a moins de limites que les précédents vendeurs de certificats libres et est beaucoup plus automatisé. Il a également de grands partisans tels que EFF, Mozilla, Chrome et Cisco. Voir https://letsencrypt.org/sponsors/ Il semble que le système fonctionne suffisamment bien pour que cela dure depuis des années.


1
Existe-t-il une différence fonctionnelle réelle entre DV et OF / EV? Ou s'agit-il littéralement d'un contrôle plus approfondi?
Huit

4
"Les certificats LetsEncrypt ne durent que 3 mois." cela est fait exprès et n'est pas perçu comme un inconvénient, mais plutôt comme une chose positive.
Patrick Mevzek

1
@Huit Différents contrôles et différents résultats finaux: un certificat DV identifie un nom d'hôte, un certificat OV / EV identifie une entité. De plus, les exigences du CAB Forum imposent des contraintes différentes. Vous ne pouvez pas avoir de VE pendant 3 ans par exemple, ni de joker.
Patrick Mevzek

5
"LetsEncrypt n'offre que le type de certificat de validation le plus bas. [..] Plus votre certificat est performant, plus votre site peut être approuvé." C'est une question de préférence personnelle et non pas une vérité universelle. Et cela importe peu, du fait de la PKI Web actuelle, c’est la sécurité de l’AC sécurisée la plus basse de votre magasin de données de confiance qui définit la sécurité de tout l’écosystème. Jusqu'à ce que tout le monde utilise CAA + DNSSEC sur son domaine moins DNSSEC lors de la validation et de plusieurs points de vue.
Patrick Mevzek

2
"Jusqu'à présent, la plupart des utilisateurs ne connaissaient ni ne s'intéressaient aux différents niveaux de validation." - Ce qui les rend plutôt inutiles. Si les utilisateurs ne distinguent pas les certificats EV / DV, un attaquant qui obtient un certificat DV valide pour un domaine donné peut mener des attaques MITM sur ce domaine, même si le site d'origine dispose d'un certificat EV.
Marcel

0

Tout ne peut pas utiliser le renouvellement automatique

CertBot facilite l'utilisation des sites Web ... mais que se passe-t-il si vous utilisez des certificats pour autre chose?

Nous avons un serveur LDAP sur lequel notre site Web s'authentifie. Il fonctionne sur un port sécurisé, mais nécessite un certificat signé pour fonctionner. Je pourrais utiliser un certificat générique gratuit ... mais cela implique de convertir le certificat en PKCS12 tous les 3 mois (les serveurs Web utilisent PEM), puis d'importer le nouveau certificat. Oh, et notre pare-feu réseau utilise également PKCS12. C'est beaucoup de tracas gratuitement.


1
Si vous le souhaitez, vous pouvez également automatiser cette conversion. il y a déjà une tâche cron en cours d'exécution certbot/ acmetool/ whathaveyou pour renouveler le certificat, vous pouvez en ajouter une qui appelle opensslà effectuer la conversion.
marcelm

-1

La réponse simple à cela est que beaucoup de webmasters ne veulent tout simplement pas faire ces choses qui consomment inutilement leur temps précieux. En cas de letencrypt, il est facile à utiliser et gratuit, mais vous devez vous rappeler et réinstaller le certificat tous les 3 mois. Si vous ne le faites pas ou si vous oubliez tout simplement de le faire, votre site indiquera une erreur 404 à vos visiteurs et aux moteurs de recherche.


10
"vous devez vous rappeler" Non, vous devez mettre en place l'automatisation nécessaire et le laisser faire son travail sans avoir rien à retenir. Vous devez également faire de la surveillance.
Patrick Mevzek

14
"alors votre site affichera une erreur 404" Certainement pas. Un certificat expiré déclenchera un échec de négociation TLS et rien n'arrivera au niveau HTTP. Les clients verront un gros avertissement dans leur navigateur Web avec du texte (qu’ils ne comprendront pas fondamentalement) et un bouton leur demandant s’ils veulent passer ou non.
Patrick Mevzek

De nombreux sites d'hébergement ne font que leur permettre de crypter un bouton-poussoir sans frais supplémentaires. Vous cliquez littéralement sur un bouton du panneau de configuration du site Web qui indique "Je le veux!" et tout se passe automatiquement à partir de ce moment, y compris le renouvellement.
James Reinstate Monica Polk

1
En tant qu'administrateur professionnel pour environ 100 domaines, je peux vous dire que je préfère nettement Let's Encrypt avec renouvellement automatisé plutôt que le renouvellement manuel des certificats chaque année, comme auparavant avec notre précédent CA.
marcelm

Utiliser acme.shpour installer les certificats Let's Encrypt installe également le renouvellement. C'est plus de travail de ne pas le faire.
Colin 't Hart
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.