CAcert.org

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

CAcert.org est une autorité de certification communautaire qui émet des certificats à clés publiques gratuits[1]. CAcert a plus de 260 000 utilisateurs vérifiés, et a émis plus d'un million de certificats[2].

Ces certificats peuvent être utilisés pour signer numériquement et chiffrer des mails, authentifier et autoriser des utilisateurs se connectant à un site web, et sécuriser des transferts de données sur Internet. Toute application qui utilise SSL peut utiliser des certificats émis par CAcert, de même que toute application qui utilise des certificats X.509.

L'association CAcert Inc.[modifier | modifier le code]

CAcert Inc. est une association à but non lucratif enregistrée [3] en Nouvelle-Galles du Sud (Australie) depuis juillet 2003, qui entretient le site CAcert.org. Elle comprend des membres de nombreux pays différents et un comité directeur de sept membres[4].

AC Robot[modifier | modifier le code]

CAcert signe automatiquement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur (comme "hostmaster@example.com). Elle agit comme un robot de certification. Ces certificats sont considérés comme faibles puisque CAcert n'émet aucune autre information dans les certificats que le nom de domaine ou l'adresse mail (le champ CommonName dans les certificats X.509).

Cercle de confiance[modifier | modifier le code]

Pour créer des certificats ayant un niveau de confiance plus élevé, les utilisateurs peuvent participer au système "web of trust" (cercle de confiance entre utilisateurs), où les utilisateurs se rencontrent physiquement et vérifient mutuellement leur identité. CAcert tient à jour le nombre de points de crédit pour chaque compte. Ces points de crédit peuvent être obtenus de plusieurs façons différentes, mais principalement en faisant vérifier son identité physiquement par d'autres utilisateurs classifiés accréditeurs.

Avoir plus de points permet aux utilisateurs d'avoir plus de privilèges, comme avoir un nom dans le certificat, ou un délai de validité plus long. Un utilisateur avec au moins 100 points est candidat à la classification accréditeur et, après avoir passé un examen[5], peut à son tour vérifier d'autres utilisateurs. Plus l'accréditeur a de points, plus il peut en donner à ceux qu'il vérifie.

CAcert organise des "rassemblements de signature", spécialement lors de gros événements comme le CeBIT ou le FOSDEM.

Description des certificats racines[modifier | modifier le code]

Depuis octobre 2005, CAcert offre des certificats racines de classe 1 et 3. La classe 3 est un sous-ensemble haute sécurité de la classe 1[6].

Inclusion[modifier | modifier le code]

Les certificats émis par CAcert ne sont pas aussi utiles dans les navigateurs que ceux émis par des autorités de certification commerciales, car de nombreux navigateurs ne distribuent pas les certificats racines de CAcert. En conséquence, pour la plupart des internautes, un certificat signé par CAcert se comporte comme un certificat auto-signé. En 2004, des discussions commencèrent quant à l'inclusion des certificats racines de CAcert dans Mozilla et dérivés (comme Firefox), alors que Mozilla n'avait pas encore de politique de certificats racines. Mozilla développa cette politique, mais CAcert retira sa demande d'inclusion fin avril 2007[7]. Il y a actuellement peu de chance pour que l'inclusion soit demandée à nouveau dans un futur proche[8].

FreeBSD incluait le certificat racine, mais le retira en 2008, imitant la politique de Mozilla[9]. En 2014, il fut également retiré d'Ubuntu[10], puis de la version de test de Debian, même s'il est toujours présent dans la version courante stable Debian 7 "Wheezy"[11].

Les systèmes d'exploitation suivants ou distributions suivantes incluent le certificat racine de CAcert [12]:

Notes et références[modifier | modifier le code]

  1. About CAcert
  2. CAcert usage statistics
  3. CAcertInc - CAcert Wiki
  4. CAcert Inc. Board of Directors
  5. Assurance Policy, section 2.3.
  6. FAQ/TechnicalQuestions - CAcert Wiki
  7. Discussion by Mozilla on including CAcert root certificate
  8. CAcert audit comment on Mozilla
  9. FreeBSD Security Officer, « ca-roots », sur FreshPorts, (consulté le 16 décembre 2013) : « The ca_root_ns port basically makes no guarantees other than that the certificates comes from the Mozilla project. »
  10. Luke Faraone, « CAcert should not be trusted by default », sur Ubuntu Launchpad Bug report logs, (consulté le 14 mars 2014)
  11. Ansgar Burchardt, « ca-certificates: should CAcert.org be included? », sur Debian Bug report logs, (consulté le 15 décembre 2013)
  12. CAcert inclusion status page

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]