Autorité de certification

[Pbr18]

Bonjour,

Je cherche une solution libre autre que l'auto-certification pour valider les certificats TLS/SSL afin de sécuriser les échanges sur le Web.
Sur le marché OpenSource, j'ai bien trouvé :

- StartSSL qui a cependant l'inconvénient de partager les certificats avec Google et autres,
Sur leur site, on peut lire : "StartCom Transparency
All issued SSL certificate is logged in "Google Log server" and "other third party logs"
with embedded SCT data in the SSL certificate."

- LetsEncrypt qui est tout nouveau dans le domaine (naissance 12/2015) mais d'une lourdeur pratiquement inadmissible pour valider un certificat (environ 150 Mo installé sur le serveur sans trop savoir à quoi tout cela est réellement destiné...)

D'où ma question, existe t-il une solution LIBRE ou un projet en cours sur un outil faisant office d’autorité de certification reconnue ?

Merci pour vos réponses.

[Obny]

Pour être précis, LetsEncrypt est une implémentation (la principale à l'heure actuelle) du standard ACME. Le client officiel pour gérer les certificats s'appelle « certbot », mais il y en a d'autres, s'il ne te convient pas.
« LetsEncrypt [...] d'une lourdeur pratiquement inadmissible pour valider un certificat (environ 150 Mo installé sur le serveur sans trop savoir à quoi tout cela est réellement destiné...) »
Si tu parles bien du client officiel (donc certbot), celui ci représente (avec la dépendance python-certbot) 815ko une fois installé. On est loin des 150Mo. Par contre, il dépend de l'interpréteur python et d'un ensemble de librairies python.

Il est bien sûr utile de préciser que ce client officiel (et probablement tous les autres à ce jour) sont « LIBRES » (pas besoin de crier). Du coup, quelle que soit la taille de ce qui est installé, il est possible de savoir « à quoi tout cela est réellement destiné » (ce que l'on peut faire facilement en listant les dépendances, si tu utilises un gestionnaire de paquets).
Enfin, l'autorité de certification est bien reconnue sur la grande majorité des navigateurs.

Enfin, tu parles d'une solution libre, mais je ne crois pas qu'il y ait de définition admise de cette belle notion pour les autorités de certifications. Par contre, il y a des autorités avec de bonnes pratiques, comme par exemple publier la liste des certificats émis. LetsEncrypt est l'une des rares autorités à le faire.

J'aurais voulu mettre des liens pour étayer mon propos, mais le forum m'interdit d'en mettre pour l'instant…

[Pbr18]

Bonjour Obny,

Merci pour ta réponse. Entre temps, j'ai creusé un peu le fonctionnement du client qu'offre LetsEncrypt et c'est très peu documenté. Les 150Mo (sur mon environnement CentOS7) qui se traduisent environ par 75 Mo de dépendances python ... et 75 Mo pour la mise en œuvre d'un serveur web dédié LetsEncrypt, en parallèle de mon propre serveur. Chez LetsEncrypt, je n'ai pas trouvé d'autre moyen plus léger pour utiliser leurs services.

Côté StartSSL, le client certbot s'installe sur le poste utilisé pour effectuer la demande de certification et le certificat obtenu peut ensuite être transféré sur le serveur. J'ai donc au final opté pour StartSSL.