dans ma boite on a un certif TLS (ouai, SSL c’est passé de mode, faut dire TLS pour être dans le coup) qui vient de chez StartCom, c’est bien parce qu’ils sont pas cher et efficaces.
Pour $120 par an, on a un certificat avec une validation de type OV (Organization Validation), et on peut mettre autant de domaines et de sous-domaines qu’on veut (tant qu’on prouve qu’on a la main sur ces domaines). Et donc, c’est bien.
Sauf que c’est pas bien.
StartCom s’est fait racheter par WoSign qui a fait de la merde et Mozilla s’en est rendu compte. Du coup, ils ont distrust WoSign et StartCom comme CA valide, et Google à suivi le mouvement. Donc fin janvier mon beau certificat, jvais pouvoir l’imprimer pour faire un joli dessous de verre, mais pas bien mieux.
Le contexte étant donné, je suppose que vous me voyez venir, où trouver la même chose ? On est près à payer plus cher ofc. Tout ce que je trouve c’est aaachement plus cher, mini x2 (est c’est vraiment minimum). Genre chez Gandi pour la même chose que ce qu’on avait, c’est 1050€. Je sais bien que le taf de qualité ça se paie, mais là bon, c’est reuch. Le truc bien avec StartCom c’est qu’on paie que la validation d’identité, les certifs sont gratuits après.
Si tu as la foi tu peux autosigner ton propre certificat via Letsencrypt qui est totalement gratuit, par contre il faut renouveler le certificat assez régulièrement (genre tous les 3/6mois).
Sinon chez nous nous faisons ça via globalsign qui fonctionne assez bien, par contre je n’ai pas les prix en tête. Je peux me renseigner si tu le désires.
LetsEncrypt fournit des vrais certificats, aussi sécurisés que n’importe quel autre.
Un certificat auto-signé c’est autre chose.
Après je ne dit pas que c’est la bonne solution pour toi (une boîte a probablement besoin de plus de services que ce que propose LetsEncrypt), mais niveau sécurité pure c’est pareil.
Mode pédant activé : on dit certificat X.509 quand on est bien éduqué.
PKI (Public Key Infrastructure) est le terme qui recouvre l’ensemble des spécifications de sécurité à base de clés publiques ;
X.509 est une sous-partie des spécifications qui décrit les certificats, et par extension on parle de certificat X.509 ;
TLS est le nom du standard IETF de sécurisation en couche réseau (Transport Layer Security), et par extension on parle de TLS comme d’une boîte à outils remplie d’algorithmes de chiffrement ;
SSL était une version propriétaire des mêmes standards chez Netscape, avant que l’IETF ne reprenne tout ça puis le passe sous le nom TLS en le faisant aussi évoluer.
Sinon pour répondre à la question initiale, je pense que Comodo peut aussi t’intéresser :
Du coup on est parti la dessus, le client CLI est top, le mode sandbox est super pratique pour les tests. Ils font pas de SAN wildcard, du coup on a re-centré nos domaines et on prends 3 wildcards, ça le fait nickel.
En plus, c’est Comodo derrière, donc bon, devrait pas y avoir trop de soucis.
On laisse tomber l’OV au final pour l’instant, visuellement ça change queud sur le browser. Au pire on prendra une EV si besoin sur un domaine spécifique.
