Les certificats SSL gratuits sont-ils sécurisés?

11

Comment se fait-il que certains certificats SSL soient gratuits? Qu'est-ce que ça veut dire? Sont-ils sécurisés ou non?

https security-certificate

— anévrisme
source

5

La seule raison pour laquelle les entreprises facturent les certificats SSL est qu'elles mettent du temps et des efforts à créer le certificat et s'attendent à être payées pour leur travail (avec un bénéfice bien sûr). Mais ils ne sont à la charge si elles ne veulent pas comme tout fournisseur gratuit de services peut faire. Ce qui importe avec les certificats SSL est de savoir si les principaux fabricants de navigateurs reconnaissent les émetteurs de certificats comme fiables ou non. S'ils le font, le navigateur affichera le site comme sécurisé, comme il le ferait de tout autre fournisseur reconnu. S'ils ne le font pas, tout utilisateur tentant d'accéder à une page Web sécurisée par le certificat non reconnu verra un avertissement leur indiquant que le certificat n'est pas reconnu et les avertissant de ne pas continuer.

La vraie question est donc de savoir "quelles offres gratuites sont reconnues par les principaux fabricants de navigateurs comme faisant autorité"?

— John Conde
source

En d'autres termes, ce sont des certificats sécurisés, mais pas "vérifiés" par un fournisseur de certificats émetteurs, car il s'agit d'un certificat auto-créé. Je me demande pourquoi le serveur Web lui-même ne peut pas vérifier le certificat. Mais là encore, je suppose qu'ils ne feraient pas $$$ comme ça, non?

— Talvi Watia

C'est votre navigateur qui détermine la validité du certificat que le serveur présente. Un certificat auto-signé créera une connexion sécurisée, mais il ne validera pas que le serveur appartient à la personne qu'il prétend être, c'est à cela que servent les autorités de certification, et elles facturent le processus de vérification et de certification des certificats le serveur présente.

— danivovich

2

@Talvi: Bonne blague! ... attendez, c'était une blague, non? Le certificat est utilisé pour vérifier, entre autres, l'identité du serveur. Demander un certificat, c'est comme demander à quelqu'un une pièce d'identité: "Quel est votre nom? Joe Blow. Pouvez-vous me montrer une pièce d'identité? Bien sûr." Ensuite, le gars prend un morceau de papier, écrit "Joe Blow" et vous le donne. Voilà mon ID. Alors vous le regardez, et vous dites "Ah, d'accord. Si c'est sur un morceau de papier, ça doit être vrai ... Un serveur produisant son propre certificat est à peu près la même chose." Êtes-vous le bon serveur pour ma banque? "" Oui. Ce ne sont pas les droïdes que vous recherchez "

— Sylver

2

@Sylver Quelle alternative pensez-vous qu'il existe? C'est juste une question d'où vous faites confiance: "Quel est votre nom? Joe Blow. Pouvez-vous me montrer une pièce d'identité? Bien sûr." Le gars présente son ami, Very Sign, qui prend un peu de papier, écrit "Joe Blow" et vous le donne. Voilà mon ID. Donc, vous le regardez, et vous dites "Ah, d'accord. Si c'est sur un morceau de papier, cela doit être vrai ... Les propriétés d'identification d'un certificat ne sont vraiment qu'un avantage secondaire de la technique de cryptage. Allez vérifier qui signe le certificat pour verisign.com

— robertc

1

@robert: Exactement, sauf que Veri Sign n'est pas l'ami de Joe Blow. Verisign est une entreprise réglementée dont l'activité principale est d'attester l'identité des personnes. Un passeport ou une carte d'identité n'est qu'une impression de fantaisie sur du papier fantaisie, mais nous l'acceptons parce que nous pensons qu'il a été délivré par une agence fiable qui a vérifié l'identité du demandeur, car il y a de lourdes sanctions pour la contrefaçon et parce qu'ils ne sont pas faciles à simuler en premier lieu. Pour obtenir un certificat de Verisign, ils vérifieront d'abord que vous êtes légitime. ...

— Sylver

4

Jetez un œil à Wikipedia pour une bonne comparaison des services SSL. Il semble que startcom dispose d'un service de certification SSL gratuit reconnu par IE, FF et Safari.

Je soupçonne qu'il existe d'autres services similaires. Le principal problème est de trouver des fournisseurs pris en charge par les navigateurs modernes. Avoir un navigateur avertit l'utilisateur que le certificat n'est pas fiable est pire que de ne pas avoir de certificat du tout, à partir du PDV de conversion et de vente.

— Sylver
source

Les certificats StartCom ne sont plus approuvés par les principaux navigateurs: le certificat StartSSL donne SEC_ERROR_REVOKED_CERTIFICATE dans Firefox et ERR_CERT_AUTHORITY_INVALID dans Chrome

— Stephen Ostermiller

Le site Wikipedia est supprimé. Pouvez-vous en ajouter un nouveau?

— Léo Léopold Hertz

0

L'infrastructure à clé publique dépend d'un tiers de confiance qui vérifiera et pourra ensuite approuver votre identité.

Lorsque vous payez une autorité de certification majeure comme Verisign pour un certificat, vous payez pour sa réputation de tiers de confiance et de confiance qui peut endosser la validité de votre identité et de votre certificat. D'un point de vue pratique, cela signifie que les principaux navigateurs sont préconfigurés pour faire confiance aux certificats signés par ces autorités.

Je peux créer un certificat gratuitement pour vous, mais il sera relativement sans valeur, car personne ne sait qui je suis et donc mon approbation ne leur donne aucune confiance.

— lukecyca
source

0

Même les principales autorités de certification comme verisign, globalsign, COMODO offrent une version gratuite de la période de suivi du certificat SSL car elles nous donnent la possibilité de faire confiance et d'évaluer leur produit.

— marque
source