Des certificats SSL gratuits avec Startcom
Par M le vendredi 16 mars 2007, 20:13 - Technique - Lien permanent
Ce site est était disponible en HTTPS. Le problème était qu'on avait le droit à une jolie alerte de sécurité indiquant que le site n'était pas digne de confiance ( ce qui n'est pas faux dans l'absolue).
Un certificat SSL signé par une autorité de certification reconnue coute très cher et hors de portée pour un particulier sur un site perso...
Un certificat SSL signé par une autorité de certification reconnue coute très cher et hors de portée pour un particulier sur un site perso...
C'est ici que Startcom intervient.
Startcom est une société basée en Israel, et qui fait (entre autre) authorité de certification.
Sur cette page, il est possible de demander des certificats SSL clients (pour les mails par exemple) et serveurs (pour un serveur web par exemple) ... gratuitement!
C'est super simple, leur serveur va générer le certificat de A à Z (ce n'est pas un problème, tout se passe en SSL) et la signature du certificat sera faite quand on aura entré la clef envoyé par mail à une adresse du style
Pour utiliser le certificat avec Apache2 par exemple, il faut enregistrer la clef privée sans mot de passe (attention aux droits sur le fichier!) :
En 5 minutes chrono, tout est fait, de la demande du certificat à son installation!
Attention, il y a un revers à la médaille : ça ne marche qu'avec Firefox 2 pour l'instant( mais ce n'est déjà pas si mal!).
Alors voilà, qu'est ce qui m'empêche de monter mon propre site de phishing ?
Rien.
Mais dans ce cas, il s'agit exclusivement de la responsabilité de... la victime !
Pourquoi ?
En fait Startcom certifie une seule chose : on se connecte bien au serveur qu'on a demandé et puis c'est tout. Il suffit de regarder le champ
Quand on achête un certificat chez Verisign par exemple, on doit fournir une tonne de paperasse car Verisign certifie aussi que le titulaire du domaine est bien celui qu'il prétend être.
C'est exactement la même chose pour les certificats clients, seule l'adresse mail est certifiée, pas l'identité de son titulaire!
Comme quoi, un certificat SSL valide ne veut pas dire digne de confiance (et ce, même quand l'identité est certifiée, une autorité de certification ne peut pas certifier qu'on est pas en fasse d'un escroc
).
Exemple d'un serveur certifié par Startcom
Startcom est une société basée en Israel, et qui fait (entre autre) authorité de certification.
Sur cette page, il est possible de demander des certificats SSL clients (pour les mails par exemple) et serveurs (pour un serveur web par exemple) ... gratuitement!
C'est super simple, leur serveur va générer le certificat de A à Z (ce n'est pas un problème, tout se passe en SSL) et la signature du certificat sera faite quand on aura entré la clef envoyé par mail à une adresse du style
postmaster@domaine.Pour utiliser le certificat avec Apache2 par exemple, il faut enregistrer la clef privée sans mot de passe (attention aux droits sur le fichier!) :
openssl rsa -in ssl.key -out ssl-nopass.keyEn 5 minutes chrono, tout est fait, de la demande du certificat à son installation!
Attention, il y a un revers à la médaille : ça ne marche qu'avec Firefox 2 pour l'instant( mais ce n'est déjà pas si mal!).
Alors voilà, qu'est ce qui m'empêche de monter mon propre site de phishing ?
Rien.
Mais dans ce cas, il s'agit exclusivement de la responsabilité de... la victime !
Pourquoi ?
En fait Startcom certifie une seule chose : on se connecte bien au serveur qu'on a demandé et puis c'est tout. Il suffit de regarder le champ
OU du certificat : Domain validated only.Quand on achête un certificat chez Verisign par exemple, on doit fournir une tonne de paperasse car Verisign certifie aussi que le titulaire du domaine est bien celui qu'il prétend être.
C'est exactement la même chose pour les certificats clients, seule l'adresse mail est certifiée, pas l'identité de son titulaire!
Comme quoi, un certificat SSL valide ne veut pas dire digne de confiance (et ce, même quand l'identité est certifiée, une autorité de certification ne peut pas certifier qu'on est pas en fasse d'un escroc
).Exemple d'un serveur certifié par Startcom