Hello,

Tout le problème est justement que StartSSL / StartCom n'est plus vraiment une autorité dite « de confiance »:
il semblerait qu'ils aient fait de mauvaises manipulations de dates sur les certificats en toute connaissance de cause et qu'ils aient « caché » leur rachat par une autre entreprise WoSign.
Pour plus de détails avec des commentaires assez intéressant : https://linuxfr.org/users/see/journaux/ … leur-perte

Bref, ça ne répond pas à st-bernard: pour le coup, c'est vrai que je n'ai pas cherché d'alternatives pour cette fonctionnalité (pour les domaines il y a Let's Encrypt, mais pour les mails…).

Pour mon boulot, j'avais cherché une autorité de certificat capable de délivrer des certificats de domaine ECDSA (un algorithme différent de RSA) et il y avait assez peu d'autorités capables d'en fournir.

J'ai eu un assez bon contact avec Global Sign pour cette problématique et j'ai bien apprécié de pouvoir les contacter en français et qu'ils soient situés en Belgique.

Je viens d'aller sur leur site et ils proposent apparemment le serveur de signature d'email à partir de 60€ / an : https://www.globalsign.fr/fr/securisation-email/

Ce qui me plaît beaucoup sur leur site, c'est ce genre de page de comparatifs: https://www.globalsign.fr/fr/securisati … /comparer/
De mon point de vue, ces pages sont claires et présentent tout de suite ce que l'on peut faire ou ne pas faire selon le prix que l'on met.

D'ailleurs, on y voit que pour les mails, une offre assez rentable est la vérification de mail + d'identité à 139€ pour 3 ans (donc ~ 47€/an).
En plus ce genre d'offre permet d'avoir un support un peu plus efficace plutôt qu'uniquement par Internet.

Enfin, je n'ai pas utilisé ce service chez eux, donc je ne peux pas tellement en dire plus que ce que je vois sur leur site.

Est-ce que quelqu'un de SwissLinux a une expérience à partager à propos de la signature et/ou du chiffrement de mail avec S/MIME ?
J'imagine que pas mal de monde utilise soit rien, soit PGP, mais il me semble clairement plus accessible S/MIME pour les personnes moins passionnées par l'informatique

Adrien

Hello,

Personnellement j'ai une SuisseID (à titre de test), c'est SwissSign et la Poste qui sont derrière, il y a plusieurs autorités de certification en Suisse qui peuvent te délivrer un certificat valable et reconnu légalement, ceci dit il est usuellement accepté qu'un mail non signé soit accepté vu la méconnaissance et le peu de déploiement de la signature électronique en Suisse. Un certificat acheté en Suisse c'est de l'économie circulaire, ça reste dans le pays.

Il y a la liste des CA autorisées en Suisse ici :https://www.sas.admin.ch/sas/fr/home/akkreditiertestellen/akkrstellensuchesas/pki.html

A titre personnel il y a une CA en Suisse en qui je ne fais aucune confiance, c'est aussi un très grand FAI qui a des DNS menteurs et fait de l'usurpation d'identité au niveau IP, je ne peux déjà pas être sûr que je visite le bon serveur par son nom ou son adresse, j'ai donc supprimé cette CA de toutes mes machines.

La SuisseID fonctionne sous Linux, ou presque... j'avais testé leur logiciel bouseux (SwissSign) qui permet d'apposer sur un PDF que c'est une signature électronique, je n'avais pas trouvé les sources et la licence, peut-être que cela a changé. En premier tu dois initialiser la carte avec le logiciel, je pense que c'est la génération des clés privées + certificats qui se fait à ce moment là et pas chez SwissSign (avec raison).

Le mieux c'est quand même sous forme de clé USB, j'ai pris la SmartCard mais il faut se traîner le lecteur USB avec, ça va pour un desktop fixe.

Pour les clés conseillées je ne saurai te répondre, je te suggère de regarder la conférence d'Aeris « SSL/TLS pour les nuls » qui parle des algos cassés : https://imirhil.fr/#conferences

jean@adimp.ch a écrit:

Salut,
J'utilise startssl https://www.startssl.com/

Startssl = Startcom = CA chinoise = poubelle ;-)

Trim a écrit:

Est-ce que quelqu'un de SwissLinux a une expérience à partager à propos de la signature et/ou du chiffrement de mail avec S/MIME ?
J'imagine que pas mal de monde utilise soit rien, soit PGP, mais il me semble clairement plus accessible S/MIME pour les personnes moins passionnées par l'informatique

Avantage de PGP :
*L'avantage de PGP est qu'il existe des serveurs de clés publics, il est facile de pouvoir chiffrer du contenu à quelqu'un en téléchargeant sa clé
*Plus ou moins facile à prendre en main
*Gratuité

Désavantage de PGP :
*Non reconnu pour de l'authentification, X.509 a été préféré pour cela
*Pas mis directement et officiellement dans les logiciels de mails courant

Avantage de X.509 :
*Structure déjà existante au niveau mondial
Déjà implémenté dans plusieurs logiciels, mais c'est loin d'être suffisant (il faudrait une masse critique)
Fonctionnement le plus étudié en cryptographie = plus de sécurité

Désavantages de X.509 :
*Difficile à comprendre pour les néophytes quand on leur explique mal qu'il existe un petit cadena et qu'il faut toujours vérifier la CA
*Peu d'adminsys réellement formé pour le déployer à grande échelle
*Payant et complexe pour se faire authentifier
*Pas possible de chiffrer un message à la première communication sauf si c'est utilisé et déployé en interne dans une entreprise puisque il n'y a pas de serveurs de clés publiques (à ma connaissance)

Pour du site web je t'aurai dis Let's Encrypt, c'est facile et automatisable, mais malheureusement ils ne font pas pour du mail

Dernière modification par Siegi (28 Jan 2017 23:36:28)