CAcert.org
CAcert.org est une autorité de certification communautaire qui émet des certificats à clés publiques gratuits[1]. CAcert a plus de 260 000 utilisateurs vérifiés, et a émis plus d'un million de certificats[2].
Ces certificats peuvent être utilisés pour signer numériquement et chiffrer des mails, authentifier et autoriser des utilisateurs se connectant à un site web, et sécuriser des transferts de données sur Internet. Toute application qui utilise SSL peut utiliser des certificats émis par CAcert, de même que toute application qui utilise des certificats X.509.
L'association CAcert Inc.
CAcert Inc. est une association à but non lucratif enregistrée [3] en Nouvelle-Galles du Sud (Australie) depuis juillet 2003, qui entretient le site CAcert.org. Elle comprend des membres de nombreux pays différents et un comité directeur de sept membres[4].
AC Robot
CAcert signe automatiquement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur (comme "hostmaster@example.com). Elle agit comme un robot de certification. Ces certificats sont considérés comme faibles puisque CAcert n'émet aucune autre information dans les certificats que le nom de domaine ou l'adresse mail (le champ CommonName dans les certificats X.509).
Cercle de confiance
Pour créer des certificats ayant un niveau de confiance plus élevé, les utilisateurs peuvent participer au système "web of trust" (cercle de confiance entre utilisateurs), où les utilisateurs se rencontrent physiquement et vérifient mutuellement leur identité. CAcert tient à jour le nombre de points de crédit pour chaque compte. Ces points de crédit peuvent être obtenus de plusieurs façons différentes, mais principalement en faisant vérifier son identité physiquement par d'autres utilisateurs classifiés accréditeurs.
Avoir plus de points permet aux utilisateurs d'avoir plus de privilèges, comme avoir un nom dans le certificat, ou un délai de validité plus long. Un utilisateur avec au moins 100 points est candidat à la classification accréditeur et, après avoir passé un examen[5], peut à son tour vérifier d'autres utilisateurs. Plus l'accréditeur a de points, plus il peut en donner à ceux qu'il vérifie.
CAcert organise des "rassemblements de signature", spécialement lors de gros événements comme le CeBIT ou le FOSDEM.
Description des certificats racines
Depuis octobre 2005, CAcert offre des certificats racines de classe 1 et 3. La classe 3 est un sous-ensemble haute sécurité de la classe 1[6].
Inclusion
Les certificats émis par CAcert ne sont pas aussi utiles dans les navigateurs que ceux émis par des autorités de certification commerciales, car de nombreux navigateurs ne distribuent pas les certificats racines de CAcert. En conséquence, pour la plupart des internautes, un certificat signé par CAcert se comporte comme un certificat auto-signé. En 2004, des discussions commencèrent quant à l'inclusion des certificats racines de CAcert dans Mozilla et dérivés (comme Firefox), alors que Mozilla n'avait pas encore de politique de certificats racines. Mozilla développa cette politique, mais CAcert retira sa demande d'inclusion fin avril 2007[7]. L'organisation n'envisage pas de demander à nouveau cette inclusion dans le futur[8].
FreeBSD incluait le certificat racine, mais le retira en 2008, imitant la politique de Mozilla[9]. En 2014, il fut également retiré d'Ubuntu[10], puis de la version de test de Debian.
Les systèmes d'exploitation suivants ou distributions suivantes incluent le certificat racine de CAcert [11]:
- FreeWRT
- Gentoo
- Maemo (installé sur les tablettes Nokia hors N900)
- Knoppix
- Mandriva Linux
- MirOS BSD
- OpenBSD
- openSUSE
- Kali Linux (successeur de la distribution sécurité de Linux BackTrack 5 linux security distribution)
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « CAcert.org » (voir la liste des auteurs).
- About CAcert
- CAcert usage statistics
- CAcertInc - CAcert Wiki
- CAcert Inc. Board of Directors
- Assurance Policy, section 2.3.
- FAQ/TechnicalQuestions - CAcert Wiki
- Discussion by Mozilla on including CAcert root certificate
- CAcert audit comment on Mozilla
- FreeBSD Security Officer, « ca-roots », sur FreshPorts, (consulté le ) : « The ca_root_ns port basically makes no guarantees other than that the certificates comes from the Mozilla project. »
- Luke Faraone, « CAcert should not be trusted by default », sur Ubuntu Launchpad Bug report logs, (consulté le )
- CAcert inclusion status page