33 private links
Lorsque votre certificat SSL est compromis (par exemple parce que sa clé privée a été volée), vous pouvez le révoquer, c'est-à-dire le signaler comme étant invalide et plus digne de confiance.
Mais comment le navigateur sait-il qu'un certificat est révoqué, car ce n'est pas une information que celui-ci contient ? Deux mécanismes existent : CRL et OCSP.
Cet article les présente ainsi que les problématiques liées.
ÉDIT : OCSP a depuis été déprécié en faveur de CRL : https://www.abetterinternet.org/post/replacing-ocsp-with-crls/
Lorsque vous achetez un certificat SSL, il n'est pas rare que des garanties, des assurances, soient proposées pour couvrir certains dommages pouvant résulter de mauvais usages. Quels usages ? Est-ce que ces assurances servent vraiment à quelque chose ?
Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).
Pourquoi ? Un sombre complot des autorités payantes ?
Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).
Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.
Ou comment obtenir un certificat SSL gratuit qui sera valide dans le navigateur. Évidemment, ça ne remplace pas un "vrai" certificat si vous traitez des données sensibles ou devez fournir certaines preuves de qualité, mais ça suffira pour 99% des utilisateurs.
Le vrai problème, c'est de mettre en place le certificat obtenu dans un hébergement mutualisé... beaucoup font payer ce service, car il requiert d'avoir une adresse IP unique par site. Chez OVH, c'est malheureusement 50€/an...
OK, je résume : la Suisse, ou plutôt l'Office fédéral de l'informatique et de la télécommunication (OFIT), possède son propre CA (Certificate Authority) pour signer ses certificats. Le problème, c'est qu'il n'est reconnu que par Microsoft et Apple. Soit bien peu de monde...
Il faut savoir que Mozilla refuse de l'accepter dans Firefox depuis... 2008 ! Les raisons d'un tel refus ? Mozilla estime que l'OFIT a une pratique légèrement dangereuse (plus de détails dans l'article). Oups.
Pourtant, aucun des sites signés par la CA ne soulève d'alertes dans le navigateur Firefox ?! Ce miracle est possible parce qu'ils ont décidé de contourner le problème en le faisant valider par un autre organisme. Sans compter le fait que les certificats expirent demain et qu'ils n'auront jamais le temps de tous les changer. Un beau bordel.
Ce site permet de tester la qualité des certificats SSL d'un domaine.