À la différence de toutes les autres autorités de certification, CAcert est une autorité de certification communautaire qui fournit gratuitement des certificats SSL/TLS.
Ce n’est pas seulement à cause de cette façon de fonctionner, similaire à l’approche de Debian, que Debian a distribué le certificat racine de CAcert depuis 2005, même après que CAcert a retiré sa demande d’être incluse dans le magasin de certifications approuvées de Mozilla en 2007, à cause d’un audit interne en cours.
La discussion de savoir si Debian continuerait à distribuer le certificat racine de CAcert dans son magasin de certifications approuvées est née de la réponse à un bogue signalé en juillet 2013 plaidant pour son retrait. Après avoir débattu le pour et le contre pendant des mois, c’est le 13 mars que Michael Shuler, le responsable du paquet ca-certificates, a finalement rendu public la décision de ne plus diffuser le certificat racine de CAcert dans Debian.
Pour un résumé détaillé du débat, veuillez vous reporter à l’article de LWN sur le sujet.
StartSSL est une autorité de certification , non communautaire, reconnue par la plupart des navigateurs, propose un offre de certificats SSL gratuits. Il n’est pas possible d’avoir de certificat « wildcard » à ce prix mais on peut en créer un pour chaque sous domaine, ce qui, avec le support du SNI dans SSLv3, permet d’héberger plusieurs domaines et sous domaines en HTTPS sur le même serveur.
Bonjour,
J’ai tous mes certificats chez SartSSL pour mes sous-domaines et il sont gratuits ;)
Clèm
@Clèm : il veut dire que tu ne peux pas certificer *.tondomaine.com, tu dois spécifier chaque sous domaine.
Mais sinon StartSSL marche bien oui.
J’ai un peu de mal à comprendre les raisons de ces attaques contre cacert.org, en quoi seraient-ils moins fiables que des organisations reconnues pour avoir travaillé avec différents gouvernements et probablement la NSA ?
Hum, Clem tu as raison, on peut demander gratuitement à StartSSL un certificat par sous domaine sans soucis.
Avec le SNI, on peut maintenant avoir plusieurs certificat SSL sur le même serveur, donc ca rox !
MTUX : ce qui me fait rire, c’est que n’importe quel CA de confiance embarqué dans ton navigateur (et il y en a beaucoup) peut donner un certificat à la NSA, KGB, whatever pour faire du MITM sur n’importe quel site web du monde ! C’est déja arrivé plusieurs fois.
Ping StartSSL, une autre autorité de certification - Le blog de Jean-Mich