Swisslinux.org

− The GNU/Linux crossroads in Switzerland −

 

Language

 

The Forum

You are not logged in.

#1 20 Jan 2017 14:35:25

st-bernard
Citoyen(ne)
From: Fully
Registered: 28 Aug 2007
Posts: 22

Certificat SSL personnel

Bonjour,

En plus de gpg, j'utilise un certificat SSL pour signer ou chiffrer des e-mails, des pdf, ...

Jusqu'à maintenant, je faisais confiance à StartCom pour authentifier mes certificats. Maintenant que l'entreprise a été revendue, et que le pays du siège n'est pas un exemple pour le respect des droits de l'homme et la sécurité informatique, je préfère me diriger vers une autre autorité de certification.

Quelle autorité de certification, reconnue par les principaux logiciels, me conseillez-vous pour un certificat personnel?

La SuisseID est-elle compatible avec Linux (USB Carte à puce)?

Et si je génère un certificat, quelles clés sont conseillées aujourd'hui?

Merci pour votre aide.

Offline

 

#2 23 Jan 2017 07:53:01

jean@adimp.ch
Illuminé(e)
From: Marly
Registered: 10 Mar 2005
Posts: 1228
Website

Re: Certificat SSL personnel

Salut,
J'utilise startssl https://www.startssl.com/


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Offline

 

#3 26 Jan 2017 22:14:39

Trim
Gourou(e) du libre
From: Saxon, Valais
Registered: 17 Oct 2007
Posts: 364
Website

Re: Certificat SSL personnel

Hello,

Tout le problème est justement que StartSSL / StartCom n'est plus vraiment une autorité dite « de confiance »:
il semblerait qu'ils aient fait de mauvaises manipulations de dates sur les certificats en toute connaissance de cause et qu'ils aient « caché » leur rachat par une autre entreprise WoSign.
Pour plus de détails avec des commentaires assez intéressant : https://linuxfr.org/users/see/journaux/ … leur-perte

Bref, ça ne répond pas à st-bernard: pour le coup, c'est vrai que je n'ai pas cherché d'alternatives pour cette fonctionnalité (pour les domaines il y a Let's Encrypt, mais pour les mails…).

Pour mon boulot, j'avais cherché une autorité de certificat capable de délivrer des certificats de domaine ECDSA (un algorithme différent de RSA) et il y avait assez peu d'autorités capables d'en fournir.

J'ai eu un assez bon contact avec Global Sign pour cette problématique et j'ai bien apprécié de pouvoir les contacter en français et qu'ils soient situés en Belgique.

Je viens d'aller sur leur site et ils proposent apparemment le serveur de signature d'email à partir de 60€ / an : https://www.globalsign.fr/fr/securisation-email/

Ce qui me plaît beaucoup sur leur site, c'est ce genre de page de comparatifs: https://www.globalsign.fr/fr/securisati … /comparer/
De mon point de vue, ces pages sont claires et présentent tout de suite ce que l'on peut faire ou ne pas faire selon le prix que l'on met.

D'ailleurs, on y voit que pour les mails, une offre assez rentable est la vérification de mail + d'identité à 139€ pour 3 ans (donc ~ 47€/an).
En plus ce genre d'offre permet d'avoir un support un peu plus efficace plutôt qu'uniquement par Internet.

Enfin, je n'ai pas utilisé ce service chez eux, donc je ne peux pas tellement en dire plus que ce que je vois sur leur site.

Est-ce que quelqu'un de SwissLinux a une expérience à partager à propos de la signature et/ou du chiffrement de mail avec S/MIME ?
J'imagine que pas mal de monde utilise soit rien, soit PGP, mais il me semble clairement plus accessible S/MIME pour les personnes moins passionnées par l'informatique smile

Adrien

Offline

 

#4 27 Jan 2017 10:57:32

jean@adimp.ch
Illuminé(e)
From: Marly
Registered: 10 Mar 2005
Posts: 1228
Website

Re: Certificat SSL personnel

Salut,
C'est vrai que le problème des autorités de certification est problématique.Je suis aussi assureur CACERT, mais maintenant le service n'est plus une autorité reconnue ce qui me pose problème pour l'authentification de mes serveurs et sites.
  Est-ce que Swisslinux pourrait faire quelque chose?


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Offline

 

#5 28 Jan 2017 23:27:56

Siegi
Humain(e) libre
From: Montreux
Registered: 21 Sep 2010
Posts: 31
Website

Re: Certificat SSL personnel

Hello,

Personnellement j'ai une SuisseID (à titre de test), c'est SwissSign et la Poste qui sont derrière, il y a plusieurs autorités de certification en Suisse qui peuvent te délivrer un certificat valable et reconnu légalement, ceci dit il est usuellement accepté qu'un mail non signé soit accepté vu la méconnaissance et le peu de déploiement de la signature électronique en Suisse. Un certificat acheté en Suisse c'est de l'économie circulaire, ça reste dans le pays.

Il y a la liste des CA autorisées en Suisse ici :https://www.sas.admin.ch/sas/fr/home/akkreditiertestellen/akkrstellensuchesas/pki.html

A titre personnel il y a une CA en Suisse en qui je ne fais aucune confiance, c'est aussi un très grand FAI qui a des DNS menteurs et fait de l'usurpation d'identité au niveau IP, je ne peux déjà pas être sûr que je visite le bon serveur par son nom ou son adresse, j'ai donc supprimé cette CA de toutes mes machines.

La SuisseID fonctionne sous Linux, ou presque... j'avais testé leur logiciel bouseux (SwissSign) qui permet d'apposer sur un PDF que c'est une signature électronique, je n'avais pas trouvé les sources et la licence, peut-être que cela a changé. En premier tu dois initialiser la carte avec le logiciel, je pense que c'est la génération des clés privées + certificats qui se fait à ce moment là et pas chez SwissSign (avec raison).

Le mieux c'est quand même sous forme de clé USB, j'ai pris la SmartCard mais il faut se traîner le lecteur USB avec, ça va pour un desktop fixe.

Pour les clés conseillées je ne saurai te répondre, je te suggère de regarder la conférence d'Aeris « SSL/TLS pour les nuls » qui parle des algos cassés : https://imirhil.fr/#conferences

jean@adimp.ch wrote:

Salut,
J'utilise startssl https://www.startssl.com/

Startssl = Startcom = CA chinoise = poubelle ;-)

Trim wrote:

Est-ce que quelqu'un de SwissLinux a une expérience à partager à propos de la signature et/ou du chiffrement de mail avec S/MIME ?
J'imagine que pas mal de monde utilise soit rien, soit PGP, mais il me semble clairement plus accessible S/MIME pour les personnes moins passionnées par l'informatique smile

Avantage de PGP :
*L'avantage de PGP est qu'il existe des serveurs de clés publics, il est facile de pouvoir chiffrer du contenu à quelqu'un en téléchargeant sa clé
*Plus ou moins facile à prendre en main
*Gratuité

Désavantage de PGP :
*Non reconnu pour de l'authentification, X.509 a été préféré pour cela
*Pas mis directement et officiellement dans les logiciels de mails courant

Avantage de X.509 :
*Structure déjà existante au niveau mondial
Déjà implémenté dans plusieurs logiciels, mais c'est loin d'être suffisant (il faudrait une masse critique)
Fonctionnement le plus étudié en cryptographie = plus de sécurité

Désavantages de X.509 :
*Difficile à comprendre pour les néophytes quand on leur explique mal qu'il existe un petit cadena et qu'il faut toujours vérifier la CA
*Peu d'adminsys réellement formé pour le déployer à grande échelle
*Payant et complexe pour se faire authentifier
*Pas possible de chiffrer un message à la première communication sauf si c'est utilisé et déployé en interne dans une entreprise puisque il n'y a pas de serveurs de clés publiques (à ma connaissance)

Pour du site web je t'aurai dis Let's Encrypt, c'est facile et automatisable, mais malheureusement ils ne font pas pour du mail

Last edited by Siegi (28 Jan 2017 23:36:28)


Association SwissNeutral.net

Offline

 

#6 26 Feb 2017 09:52:44

st-bernard
Citoyen(ne)
From: Fully
Registered: 28 Aug 2007
Posts: 22

Re: Certificat SSL personnel

Hello,
Merci pour ta réponse très complète, je vais très certainement me tourner vers cette solution pour les signatures de mail et PDF. Un des gros avantages de cette solution, c'est qu'elle est reconnue par l'administration suisse. Pour une entreprise, c'est très pratique.
Pour mon site web, j'utilise la solution de Let's Encrypt, le but principal étant de crypter les communications.
Je vous tiendrai au courant de mon expérience.

Offline

 

Board footer

Powered by FluxBB