CAcert.org

CAcert.org est une autorité de certification communautaire qui émet des certificats à clés publiques gratuits[1]. CAcert a plus de 260 000 utilisateurs vérifiés, et a émis plus d'un million de certificats[2].

Ces certificats peuvent être utilisés pour signer numériquement et chiffrer des mails, authentifier et autoriser des utilisateurs se connectant à un site web, et sécuriser des transferts de données sur Internet. Toute application qui utilise SSL peut utiliser des certificats émis par CAcert, de même que toute application qui utilise des certificats X.509.

L'association CAcert Inc.

CAcert Inc. est une association à but non lucratif enregistrée [3] en Nouvelle-Galles du Sud (Australie) depuis juillet 2003, qui entretient le site CAcert.org. Elle comprend des membres de nombreux pays différents et un comité directeur de sept membres[4].

AC Robot

CAcert signe automatiquement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur (comme "hostmaster@example.com). Elle agit comme un robot de certification. Ces certificats sont considérés comme faibles puisque CAcert n'émet aucune autre information dans les certificats que le nom de domaine ou l'adresse mail (le champ CommonName dans les certificats X.509).

Cercle de confiance

Pour créer des certificats ayant un niveau de confiance plus élevé, les utilisateurs peuvent participer au système "web of trust" (cercle de confiance entre utilisateurs), où les utilisateurs se rencontrent physiquement et vérifient mutuellement leur identité. CAcert tient à jour le nombre de points de crédit pour chaque compte. Ces points de crédit peuvent être obtenus de plusieurs façons différentes, mais principalement en faisant vérifier son identité physiquement par d'autres utilisateurs classifiés accréditeurs.

Avoir plus de points permet aux utilisateurs d'avoir plus de privilèges, comme avoir un nom dans le certificat, ou un délai de validité plus long. Un utilisateur avec au moins 100 points est candidat à la classification accréditeur et, après avoir passé un examen[5], peut à son tour vérifier d'autres utilisateurs. Plus l'accréditeur a de points, plus il peut en donner à ceux qu'il vérifie.

CAcert organise des "rassemblements de signature", spécialement lors de gros événements comme le CeBIT ou le FOSDEM.

Description des certificats racines

Depuis octobre 2005, CAcert offre des certificats racines de classe 1 et 3. La classe 3 est un sous-ensemble haute sécurité de la classe 1[6].

Inclusion

Les certificats émis par CAcert ne sont pas aussi utiles dans les navigateurs que ceux émis par des autorités de certification commerciales, car de nombreux navigateurs ne distribuent pas les certificats racines de CAcert. En conséquence, pour la plupart des internautes, un certificat signé par CAcert se comporte comme un certificat auto-signé. En 2004, des discussions commencèrent quant à l'inclusion des certificats racines de CAcert dans Mozilla et dérivés (comme Firefox), alors que Mozilla n'avait pas encore de politique de certificats racines. Mozilla développa cette politique, mais CAcert retira sa demande d'inclusion fin avril 2007[7]. L'organisation n'envisage pas de demander à nouveau cette inclusion dans le futur[8].

FreeBSD incluait le certificat racine, mais le retira en 2008, imitant la politique de Mozilla[9]. En 2014, il fut également retiré d'Ubuntu[10], puis de la version de test de Debian.

Les systèmes d'exploitation suivants ou distributions suivantes incluent le certificat racine de CAcert [11]:

Notes et références

  1. About CAcert
  2. CAcert usage statistics
  3. CAcertInc - CAcert Wiki
  4. CAcert Inc. Board of Directors
  5. Assurance Policy, section 2.3.
  6. FAQ/TechnicalQuestions - CAcert Wiki
  7. Discussion by Mozilla on including CAcert root certificate
  8. CAcert audit comment on Mozilla
  9. FreeBSD Security Officer, « ca-roots », sur FreshPorts, (consulté le ) : « The ca_root_ns port basically makes no guarantees other than that the certificates comes from the Mozilla project. »
  10. Luke Faraone, « CAcert should not be trusted by default », sur Ubuntu Launchpad Bug report logs, (consulté le )
  11. CAcert inclusion status page

Annexes

Articles connexes

Liens externes

  • Portail de l’informatique
  • Portail de la cryptologie
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.