CHATONS et CACERT

proposition
#1

Bonjour,

Je suis le projet CHATONS depuis 2016 maintenant, lors de la création de mon serveur personnel. :slight_smile:

Et si à l’époque j’ai finalement choisi de ne pas rentrer dans les portées, aujourd’hui, j’ai rassemblé quelques collègues et nous nous y mettons tranquillement et sereinement.

J’ai cependant un question, un projet qui me tiens à cœur, essentiellement dans ce monde du libre : Y-en-a-t-il parmi vous qui utilisent les certificats de chez CaCert.org ?

Pour ceux qui ne connaissent, pas, c’est un organisme certificateur “associatif” dont les certifications sont effectuées de visu. En fonction de vos rencontres avec les membres, vous obtenez des points qui permettent d’avoir différents certificats.

En 2016, Firefox ne supportait plus cette autorité de certification. Las de me sentir face à aux Let’sEncrypt et tout le toutim, j’ai évidemment changé mon fusil d’épaule pour prendre le renouvellement automatique.

Mais le collectif des CHATONS commence à ne plus être petit, et je me dit que plutôt que d’utiliser des certificats émis de façons anonymes qui ne prouvent rien, in fine, ce collectif pourrait commencer à migrer en masse vers ce certificateur.

L’idée est double :

  • 1 redonner un vivier d’utilisateurs et faire "re"connaitre cette certification, et donc, avoir plus de poids auprès des navigateurs.
  • 2 une qualité, une “image” d’identité de personnes physiques rencontrée, et vérifiées, loin, donc, des GAFAM ou d’autres SA, dont on ne sait pas qui est derrière.

Merci de m’avoir lu,

@ bientôt

4 Likes
La NSA espionne t'elle les mainteneurs de dépot?
#2

La centralisation de letsencrypt me dérange (comme toute centralisation :wink: ). J’ai vaguement espoir qu’on voit apparaitre d’autres fournisseurs de certificats qui utilisent le même protocole d’automatisation. Est-ce que c’est le cas de CaCert.org ? (j’ai assez peu de culture sur le sujet, c’est une question naïve).

1 Like
#3

Concernant le problème de centralisation qu’offre Let’s Encrypt, j’avais trouvé sur le blog de 22decembre.eu un article où il utilisait une autre autorité de certification pour signer ses certificats, et ce avec le client habituellement utilisé pour LE.
L’article en question se trouve ici : https://www.22decembre.eu/fr/2020/06/06/lets-encrypt-alternative/ (son serveur semble en panne, mais si jamais ça remarche entre temps)

Cette autorité, c’est Buypass et il existe chez eux une offre gratuite qui demande juste de s’inscrire avec une adresse mail (chose faisable avec le client ACME ou Certbot). Certes, leurs certificats gratuits ne supportent pas le wildcard (en gros, faire un certificat sous la forme *.tonsupersite.net) ou l’OCSP, mais elle offre des avantages énormes :

  • société norvégienne, donc pas de dépendances avec les USA
  • compatible out-of-the-box une fois que c’est configuré
  • plus de problème de centralisation chez LE
  • même durée pour les certificats

J’utilise ça pour le site web de ma plateforme et ça marche nickel jusqu’à maintenant.
Si ça peut donner des idées :slight_smile:

EDIT : c’était pas sur mon blog, mais sur le site web d’Automario !

2 Likes
#4

Il me semble que l’échec du CaCert relève du manque de fiabilité et de sécurité, de mémoire même la fondation Mozilla avait décidé de bannir leur CA.

#5

Oui. Mais il faut le remettre dans un contexte plus général. Cela est lié à une intiative européenne d’organiser un cadre juridique vertueux autour de la signature électronique. L’explication et la directive sur le site de l’anssi :

#6

Excuses-moi mais je ne vois pas le rapport, en quoi l’Europe pourrait influencer un organisme localisé en Australie et qui se veut avoir une portée mondiale ? L’Europe n’arrive déjà pas à faire respecter la GDPR.

De ce que je me souviens, différents protagonistes avaient estimés que les mécanismes de CaCert n’étaient pas suffisamment fiables.

#7

On parle de la même chose ? http://blog.cacert.org/2020/11/cacert-moves-to-europe/

#8

Je ne suis pas tout à fait d’accord. On peut aussi avoir une autre lecture de GDPR. Le récent partenariat OVH – Google peut éclairer mon propos sur ce sujet. (mais c’est encore un autre sujet)

#9

CaCert cela existe depuis des années et ils n’ont pas réussi à faire inclure leur CA dans les différents OS et navigateurs (visiblement pour des raisons de fiabilité).

Je ne parle pas des changements récents, je doute que leur relocalisation change quoi que ce soit, cela fait longtemps que je ne m’intéresse plus à eux. Lets encrypt s’est imposé comme standard.

#10

Oui, tu as évidemment raison. Ça pose d’autres question en lien avec la gouvernance des internets. Mais ce n’est pas pour autant une raison pour abandonner le sujet. Par exemple, on découvre dans ce fil que des chatons utilisent d’autre cacert que LE tout en conservant le même code. Et pour en revenir à cacert, il me semble trouver beaucoup de similitude entre la démarche de cette association majoritairement européenne et celle du collectif des chatons. Ne serais ce que par rapport à maintenir des compétences liées aux procédés de chiffrement et à la sécurité en général.
Je suis d’accord également qu’on ne peut pas être omnipotent et courir tous les sujets. Mais celui ci est quand même de la première importance.

#11

Si le sujet t’intéresses, saches qu’il est tout à fait possible de créer son propre CA basée sur le protocole ACME (le même qu’utilise Let’s Encrypt) :

1 Like
#12

Une bonne nouvelle : une nouvelle autorité délivre désormais des certificats SSL comme Buypass et LE. Il s’agit de Zerossl !
C’est un peu la même chose que Buypass, mais j’ai pas vraiment réussi à savoir si c’était une société européenne ou non (visiblo, ils ont un siège à Vienne et à Londres).

Un bon article en anglais résume comment faire si on veut passer par eux au lieu de LE : https://scotthelme.co.uk/introducing-another-free-ca-as-an-alternative-to-lets-encrypt/

Petit à petit, ça progresse :slight_smile:

2 Likes
#13

Un article bien documenté et toutafé opportun :upside_down_face:

https://securite.developpez.com/actu/310692/La-liste-des-alternatives-a-Let-s-Encrypt-offrant-des-certificats-gratuits-via-ACME-s-agrandit-et-comporte-des-options-comme-ZeroSSL-pour-mieux-proteger-les-sites-web/

1 Like