Remarque cette question est liée, sauf que celle-ci concerne les certificats SSL gratuits .
Il existe des fournisseurs qui proposent des certificats SSL d'entrée de gamme totalement gratuits (comme StartSSL). Je me demandais s'ils sont techniquement la même chose que ceux payants (au moins avec les certificats SSL d'entrée de gamme comme RapidSSL et PositiveSSL)? Je comprends que SSL étendu/organisation est une catégorie différente, mais si vous n'avez besoin que de certificats SSL d'entrée de gamme, les certificats gratuits sont-ils techniquement les mêmes que les variantes d'entrée de gamme payantes?
De plus, s'ils sont techniquement les mêmes, pourquoi voudriez-vous payer pour quelque chose qui est disponible gratuitement?
Au niveau des octets, X.509 est X.509 et il n'y a aucune raison pour que les certificats SSL gratuits soient meilleurs ou pires que les non-libres - le prix n'est pas écrit dans le certificat. Tout fournisseur de certificats peut tâtonner la génération de certificats, qu'il soit payé ou non.
La partie dure d'un certificat est en dehors de lui: elle se trouve dans les procédures associées , c'est-à-dire tout ce qui est en place pour gérer les certificats: comment le détenteur de la clé est authentifié par l'AC , comment déclencher la révocation et propager les informations correspondantes, quel type de garantie légale est offerte par l'AC, ses niveaux d'assurance, ses plans de continuité ...
Pour l'acheteur de certificats, la grande valeur dans une autorité de certification particulière est l'endroit où l'autorité de certification a réussi à placer sa clé racine (navigateurs, systèmes d'exploitation ...). Les fournisseurs (Microsoft, Mozilla ...) ont tendance à exiger beaucoup de choses administratives et juridiques de l'autorité de certification avant d'accepter d'inclure la clé racine de l'autorité de certification dans leurs produits, et de telles choses ne sont pas gratuites. Par conséquent, une autorité de certification qui pourrait obtenir sa clé racine distribuée mais émet des certificats gratuitement a un plan commercial suspect. C'est pourquoi les revendeurs free-cert proposent également des certificats payants avec des caractéristiques supplémentaires (certificats qui durent plus longtemps, certificats avec des noms génériques, procédures d'authentification supplémentaires ...): à un moment donné, les opérateurs CA doivent avoir un flux de trésorerie entrant. Mais, en fin de compte, c'est le problème de l'AC, pas le vôtre. S'ils sont prêts à donner des certificats gratuitement et Microsoft est d'accord avec l'inclusion de leur clé racine en tant que "clé de confiance par défaut", alors il n'y a pas de problème pour vous dans l'utilisation de ces certificats.
Modifier: et maintenant il y a Let's Encrypt , qui est une autorité de certification gratuite acceptée par les principaux navigateurs. Leur plan d'affaires n'est pas suspect - en fait, ils n'ont pas du tout de plan d'affaires. Ils fonctionnent comme une entité à but non lucratif et vivent de dons. Ils ont trouvé un créneau agréable: ils ont obtenu l'adhésion des principaux fournisseurs de navigateurs qui ont fait une croisade pour tuer le Web non HTTPS, et avaient besoin d'un émetteur de certificat gratuit pour convaincre les administrateurs de petits sites Web de changer; et maintenant, aucun fournisseur de navigateur ne peut partir car cela les rendrait complaisants en matière de sécurité.
J'utilise startssl pour un certificat gratuit depuis environ un an et demi maintenant avec seulement de très petits problèmes [...][Supprimé la plupart des messages de 2012 car ils ne sont plus pertinents maintenant]
EDIT 2016 : Il n'y a aucun problème technique à utiliser un certificat à partir d'un certificat SSL gratuit, tant que cette autorité de certification est approuvée par vos utilisateurs. Veuillez noter que votre exemple StartSSL n'est plus approuvé par la plupart des navigateurs.
Les utilisateurs de certificats gratuits doivent être conscients que les certificats gratuits sont nécessairement émis de manière automatique qui émet un certificat pour un domaine une fois que vous pouvez fournir une assurance que vous contrôlez ce domaine. Ils ne permettent pas de valider que vous êtes réellement une organisation (validation de l'organisation), ni d'effectuer des vérifications et des audits étendus par rapport aux documents officiels (validation étendue). C'est-à-dire que si quelqu'un parvient à contrôler un domaine avec un nom similaire, il pourrait obtenir des certificats SSL valides pour ce domaine portant le même nom. (Par exemple, quelqu'un parvient à s'inscrire america.com
et vous incite à aller à https://bank.of.america.com
à des fins bancaires, puis effectue une attaque d'homme au milieu avec https://www.bankofamerica.com
pour accéder à votre compte.) Certes, de nombreux certificats payants ne fournissent qu'une validation automatique de domaine. L'idée derrière les certificats EV est que vous pouvez voir dans la barre d'emplacement le nom de l'organisation validée CA qui existe et possède ce domaine.
En règle générale, cela signifie que vous souhaitez une autorité de certification à laquelle la plupart des principaux navigateurs et systèmes d'exploitation font implicitement confiance par défaut. L'un des premiers fournisseurs de certificats gratuits ( CAcert ) jamais obtenu par défaut la confiance dans la plupart des principaux navigateurs et systèmes d'exploitation et, par conséquent, leurs certificats sont moins utiles, sauf si vous savez que les utilisateurs de votre site ont installé et approuvé le certificat racine CAcert. Le fournisseur de certificats SSL d'entrée de gamme gratuits dans votre exemple (StartSSL), utilisé par la plupart des principaux navigateurs et systèmes d'exploitation. Cependant, la plupart des principaux navigateurs suppriment la confiance pour StartSSL (sans rapport avec leur émission de certificats gratuits - voir ci-dessous). Cependant, il existe maintenant un autre fournisseur de certificats gratuit auquel la plupart des principaux navigateurs et systèmes d'exploitation font confiance, appelé Let's Encrypt .
La raison pour laquelle StartSSL n'est plus digne de confiance est que StartCom (la société derrière StartSSL) a vendu son autorité de certification à une entreprise chinoise (WoSign) sans divulguer publiquement la vente. Ils ont également émis un certificat pour un domaine github sans autorisation et ont commencé à dater les certificats de signature pour éviter les restrictions du navigateur. Les principaux fournisseurs de navigateurs (dont Mozilla, Google, Apple) ont commencé à ne plus faire confiance aux certificats émis par eux dans leurs produits (y compris Firefox, Chrome, Safari).
Pour plus d'informations:
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
https://support.Apple.com/en-us/HT204132
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Le principal inconvénient technique ne serait que si une autorité de certification gratuite n'est pas largement acceptée par les fabricants de navigateurs ou de systèmes d'exploitation, les certificats qu'ils génèrent peuvent également ne pas être fiables. De plus, s'il y a des problèmes avec l'autorité de certification qui provoquent l'invalidation de leur certificat racine, vous pouvez alors rencontrer des problèmes. Cela dit, vous pouvez potentiellement rencontrer les mêmes problèmes avec n'importe quelle autorité de certification et ce n'est pas nécessairement un problème technique directement.
Il n'y a aucun inconvénient technique à utiliser des certificats SSL gratuits. La technologie et le protocole SSL garantissent que la négociation entre le client et le serveur génère des clés de session robustes et sécurisées pour contrecarrer l'usurpation de données et les attaques de l'homme au milieu. Vous devez vous assurer que votre fournisseur SSL gratuit fournit un état de certificat en temps réel en utilisant OCSP ou CRL sans échec.
Si vous êtes en mesure de dire aux utilisateurs finaux de faire confiance à votre certificat SSL par tout moyen ou moyen, tout devrait bien se passer.
Il y a maintenant un gros inconvénient à utiliser StartSSL: les principaux navigateurs ne font plus confiance à leurs certificats. La société et sa société mère ne traitaient pas les certificats et les procédures à la satisfaction de Mozilla.
Firefox a annoncé son intention de se méfier des certificats StartSSL en octobre 2016: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Google et Chrome Se méfier des certificats WoSign et StartCom . Chrome supprime progressivement ces certificats avec les versions ultérieures du navigateur .
Safari bloque la confiance pour les certificats SSL gratuits de WoSign CA: https://support.Apple.com/en-us/HT202858
Source: Mon nouveau certificat StartSSL n'a pas fonctionné: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-err -cert