Arnaque SSL ?

Répondre
Partager Rechercher
Hello,

Un copain cherche à se monter une boutique en ligne et pour ça il lui faut un certificat SSL. Mais disons que le prix d'entrée le freine un peu, et du coup il a trouvé pas mal d'offres cheap. Mais personnellement je suis très méfiant vis-à-vis de ces offres... J'ai tendance à penser que y a sûrement anguille sous roche et que ça pue l'arnaque.

Quelqu'un ici pourrait me le confirmer ?

Voici les liens en questions :
https://www.ssls.com/lp/4.99-ssl-offer.html
http://marketing.hosteur.com/landing/ssl/index.php
http://www.certificat.fr/fr/produits/marques/rapidssl/

Est-ce qu'il existe vraiment des sites qui proposent du SSL à un prix inférieur à 10 € sans entourloupes ?
J'suis d'avis que si c'était possible d'avoir du SSL à 5€ par mois, OVH ferait pas la boulette d'en proposer à 80 €... Mais je suis peut-être juste con ?
Citation :
Publié par Angora
Hello,

Un copain cherche à se monter une boutique en ligne et pour ça il lui faut un certificat SSL. Mais disons que le prix d'entrée le freine un peu, et du coup il a trouvé pas mal d'offres cheap. Mais personnellement je suis très méfiant vis-à-vis de ces offres... J'ai tendance à penser que y a sûrement anguille sous roche et que ça pue l'arnaque.

Quelqu'un ici pourrait me le confirmer ?

Voici les liens en questions :
https://www.ssls.com/lp/4.99-ssl-offer.html
http://marketing.hosteur.com/landing/ssl/index.php
http://www.certificat.fr/fr/produits/marques/rapidssl/

Est-ce qu'il existe vraiment des sites qui proposent du SSL à un prix inférieur à 10 € sans entourloupes ?
J'suis d'avis que si c'était possible d'avoir du SSL à 5€ par mois, OVH ferait pas la boulette d'en proposer à 80 €... Mais je suis peut-être juste con ?
https://www.startssl.com
Gratuit. Pas de wildcard (obviously). Revocation du certificat payant (25e), mais osf, la revocation des certificats c'est un truc cassé dans tous les browsers de toute facon.
Apres ce que tu payes dans un certificat, c'est essentiellement la reput du provider, et qui lui fait confiance (ie, dans la truststore de qui est-il ?)
Citation :
Publié par Angora
Donc ça existe. D'un autre côté, c'est vrai que les certificats c'est du vent... mais bon ça m'étonne quand même.
Du vent, oui et non. Ça ne te protège pas contre les attaques qui peuvent compromettre le CA (ie, crime organisé, ou état), mais ca protege contre la majorite des attaquants.

Bon, certains pourraient d'ire que {set des entites capable de compromettre un CA} et {set des entites capables de faire du MITM a tres grandes echelles } se recoupent pas mal au final...
Au fond, considere principalement cela comme la taxe pour avoir un joli cadenas vert qui rassure les users dans ton browser.
Citation :
Publié par Malka
https://www.startssl.com
Gratuit. Pas de wildcard (obviously). Revocation du certificat payant (25e), mais osf, la revocation des certificats c'est un truc cassé dans tous les browsers de toute facon.
Apres ce que tu payes dans un certificat, c'est essentiellement la reput du provider, et qui lui fait confiance (ie, dans la truststore de qui est-il ?)
N'utilise surtout pas ce provider c'est de la merde Il faut mieux prendre un a 5$/an comme:
https://cheapsslsecurity.com/
Ah, tu as eu quoi comme probleme avec ? Perso le seul truc qui m'a un casse les couilles, c'etait les certificats intermediaire hashe avec SHA1.

Apres je sais qu'a l'epoque de heartbleed, ca hurlait sur hacker news en mode '25 USD la revocation, honteux !1'.
Mais bon comme dit plus haut, les mecanismes de revocation des certificats sont par nature casses : le client doit DL chez le client la liste de TOUS les certificats que celui a revoque pour savoir si celui qu'il a recu du serveur est dedans.... Si jamais le serveur du CA est inaccessible (et vu qu'ils se prennent des request de tous les browsers du monde pour recuperer cette fameuse liste, ca arrive assez souvent), c'est ignore silencieusement.
Euh oui StartSSL je m'en suis servi plusieurs fois, ça marchait très bien
Au final je suis passé sur un wildcard pour diverses raisons (notamment le fait que c'est pas moi qui payait ), mais pour un site solo je pense que je réutiliserais sans souci
Citation :
Publié par Angora
Hello,

Un copain cherche à se monter une boutique en ligne et pour ça il lui faut un certificat SSL. Mais disons que le prix d'entrée le freine un peu, et du coup il a trouvé pas mal d'offres cheap. Mais personnellement je suis très méfiant vis-à-vis de ces offres... J'ai tendance à penser que y a sûrement anguille sous roche et que ça pue l'arnaque.

Quelqu'un ici pourrait me le confirmer ?

Voici les liens en questions :
https://www.ssls.com/lp/4.99-ssl-offer.html
http://marketing.hosteur.com/landing/ssl/index.php
http://www.certificat.fr/fr/produits/marques/rapidssl/

Est-ce qu'il existe vraiment des sites qui proposent du SSL à un prix inférieur à 10 € sans entourloupes ?
J'suis d'avis que si c'était possible d'avoir du SSL à 5€ par mois, OVH ferait pas la boulette d'en proposer à 80 €... Mais je suis peut-être juste con ?
Je ne sais pas trop quel type de sécurité juridique te propose ces sites, ni quel type de sécurité juridique ton ami recherche.
a 5 euros/mois, il y a forcément une entourloupe et principalement du genre si il se passe une merde, oubli toute assistance de leur part.
Si OVH fait du 80 euros/mois c'est que si il se passe quelque chose, ca sera a eux d'expliquer pourquoi la sécurité a merdé et d'avancé les ronds pour le préjudice causé.
le 80e/mois c'est probablement pour du wildcard (tu peux les utiliser sur tous les *.tondomaine.tld, la ou un certificat classique sera limite a tondomaine.fr, www.tondomaine.fr, et un seul sous domaine. Evidement, c'est beaucoup plus cher). Apres quand le CA recoit une demande qui vient de l'etat, que ca soit OVH, sslSuperPasCher.com, ou autre, il certifiera la clef sans rechigner imo.

Apres niveau protection, le contrat d'OVH stipule :

Citation :
OVH s'engage à apporter tout le soin et la diligence nécessaires à la fourniture d'un service de
qualité conformément aux usages de la profession et à l'état de l'art. Il ne répond que d'une
obligation de moyens.
Les obligations d'OVH au titre des présents termes contractuels se bornent à la mise en place
d'un certificat électronique sur le site Internet hébergé sur un service compatible de la plateforme
d'hébergement d'OVH et associé au nom de domaine enregistré par le Client auprès
d'OVH.
ie : si ca chie pour une raison X, Y, ou Z : c'est pour ta pomme. C'est pareil chez tous les autres.
Si ton ami ne peut pas mettre 50€ dans un certificat il va faire comment pour acheter du matos pour son e-boutique, gérer les impayés, etc. ? Il aura moins de contraintes...

Du coup je lui recommande plutôt de faire un petit effort et lâcher les 50€. Puis si ça marche ça sera une formalité de le renouveler l'année prochaine.
Citation :
Publié par Malka
le 80e/mois c'est probablement pour du wildcard (tu peux les utiliser sur tous les *.tondomaine.tld, la ou un certificat classique sera limite a tondomaine.fr, www.tondomaine.fr, et un seul sous domaine. Evidement, c'est beaucoup plus cher). après quand le CA recoit une demande qui vient de l'etat, que ca soit OVH, sslSuperPasCher.com, ou autre, il certifiera la clef sans rechigner imo.

après niveau protection, le contrat d'OVH stipule :



ie : si ca chie pour une raison X, Y, ou Z : c'est pour ta pomme. C'est pareil chez tous les autres.
Parce que OVH n'émet pas lui même le certificat, mais passe par un certificateur professionnel. OVH n'est qu'un intermédiaire technique. Je me suis fourvoyé en parlant d'OVH même pour la protection juridique mais c'est aussi ce que tu paies lorsque tu passes par son revendeur.
C'est off topic mais si un jour un de tes clients porte plainte pour fraude via ton site, c'est le certificateur qui va devoir assurer derrière vue qu'a la base il certifie que ton commerce n'est pas une arnaque et que le système de paiement est sécurisé. C'est toute l'histoire des réputations, après je ne sais pas comment réagissent les banques, si elles imposent/exclus des certificateurs pour leur transactions.
Maintenant si ton certificateur est une obscure boite qui vend des certif depuis HK ou n'importe quel paradis juridique, c'est moins évident.
Citation :
Publié par Estal'exilé
C'est off topic mais si un jour un de tes clients porte plainte pour fraude via ton site, c'est le certificateur qui va devoir assurer derrière vue qu'a la base il certifie que ton commerce n'est pas une arnaque et que le système de paiement est sécurisé. C'est toute l'histoire des réputations, après je ne sais pas comment réagissent les banques, si elles imposent/exclus des certificateurs pour leur transactions.
Non. Il certifie que tu es bien le proprietaire du nom de domaine. Le reste est totalement hors de son domaine. Il existe des certificateurs pour cela en matiere de e-commerce, mais ca n'a aucun lien avec SSL.
Citation :
Publié par Malka
Non. Il certifie que tu es bien le proprietaire du nom de domaine. Le reste est totalement hors de son domaine. Il existe des certificateurs pour cela en matiere de e-commerce, mais ca n'a aucun lien avec SSL.
Peut être pas tous, mais lorsqu'il vérifie ton extrait K-Bis, que l'adresse de ton extrait K-bis correspond a celle qu'il trouve dans l'annuaire et celle lié a ton nom de domaine, qu'il vérifie que le numéro de téléphone que tu donnes, lorsqu'il l'appelle il tombe sur la personne administratif de du certificat (celle que tu remplis dans le formulaire), il ne vérifie pas juste que tu sois le propriétaire du domaine, mais que tu ne sois pas fictif.

D'ailleurs je connais des "boites" plus proche du status d'association (donc sans extrait k-bis dispo) ou des boites ne voulant pas paraitre dans les annuaires qui ont a chaque renouvellement des difficultés à le faire. Je me rappelle d'un ministère qui s'était retrouvé obligé a nous faxer un papier signé du PM pour prouvé l'authenticité de leur site.

Alors oui tu peux avoir le même certif pour 5 roro/mois chez le vendeur d'a coté, mais je ne pense pas que t'ai le même service derrière.
Citation :
Publié par Estal'exilé
Peut être pas tous, mais lorsqu'il vérifie ton extrait K-Bis, que l'adresse de ton extrait K-bis correspond a celle qu'il trouve dans l'annuaire et celle lié a ton nom de domaine, qu'il vérifie que le numéro de téléphone que tu donnes, lorsqu'il l'appelle il tombe sur la personne administratif de du certificat (celle que tu remplis dans le formulaire), il ne vérifie pas juste que tu sois le propriétaire du domaine, mais que tu ne sois pas fictif.

D'ailleurs je connais des "boites" plus proche du status d'association (donc sans extrait k-bis dispo) ou des boites ne voulant pas paraitre dans les annuaires qui ont a chaque renouvellement des difficultés à le faire. Je me rappelle d'un ministère qui s'était retrouvé obligé a nous faxer un papier signé du PM pour prouvé l'authenticité de leur site.

Alors oui tu peux avoir le même certif pour 5 roro/mois chez le vendeur d'a coté, mais je ne pense pas que t'ai le même service derrière.
Oui il verifie ton IDENTITE (au sens large).
Pas que tu sois un horrible escroc, ou qu'il y ait d'immondes failles de securite dans ton processeur de paiement. Un certificat ca t'assure juste que quand tu te connectes sur trucmuche.com, tu parles bien avec trucmuche.com, et pas un autre. Ca ne t'assure absolument pas que trucmuche.com est un tiers de confiance, ou qu'il ne va pas se faire voler les numeros de CB client stockes en clair.

Sinon ca ferait longtemps que https://www.sony.com ne marcherait plus (bon, on peut se connecter, mais la page ressemble a rien vu que les browsers modernent refusent de charger les assets http depuis un document https, et que Sony est nul a chier)
Franchement dit à ton pote de prendre un p'tit certificat SSL "secure site" chez Verisign, il en aura pour moins de 500$/an et sera assuré de la fiabilité de son fournisseur.

Les outils de gestions sont efficaces et le support répond rapidement aux demandes, quand tu te lances dans du business en ligne il faut
Ça m'a toujours fait marrer les prix pratiqués ramené à la valeur ajouté de ces autorités de certification.

On comprend mieux comment Verisign a pu se faire un bon paquet d'argent à coup de 500-2000$/an et par certificat pour la simple génération d'un fichier de quelques kilooctets ne nécessitant aucune puissance de calcul.

Franchement, prends le moins cher comme suggérés par certains posts précédents.
Ça sert strictement à rien de passer par des gros acteurs comme Verisign et de payer 500$+ par an quand tu peux avoir le même service à 5$.
Et le support ne sert franchement à rien, c'est relativement triviale de générer les éléments nécessaires à l'obtention d'un certificat et il y a des tutos à foison sur internet.
Fais juste attention aux offres gratuites par contre car elles sont souvent pour un usage non commercial.

Que tu paies 5$ ou 50k$ ton certificat ça ne change strictement rien pour le client qui accèdera au site.
Dans le pire des cas, si l'autorité de certification se fait péter (ça reste assez rare) ou si elle se fait blacklister (c'est tout aussi rare), il te suffit de générer un certificat ailleurs et l'impact est minime.

Et en plus si l'autorité qui a signé ton certificat se fait péter tu ne cours pas plus de risque qu'un autre site qui n'aurait pas souscrit à cette autorité. (je peux expliciter cette affirmation si besoin)
Une certification SSL est exigée pour notamment tous les échanges EDI de factures. A ce niveau là, 500 - 2000$ / an, c'est loin d'être si abusé que ça.

La question c'est donc : pourquoi le SSL? Si c'est un petit truc sans trop de prétention, osef, le moins cher. Si c'est un truc bien plus important qui verra passer plus de thunes, mets les moyens.
Citation :
Publié par Wike l'exilé
Une certification SSL est exigée pour notamment tous les échanges EDI de factures. A ce niveau là, 500 - 2000$ / an, c'est loin d'être si abusé que ça.

La question c'est donc : pourquoi le SSL? Si c'est un petit truc sans trop de prétention, osef, le moins cher. Si c'est un truc bien plus important qui verra passer plus de thunes, mets les moyens.
Je vois quand même pas le rapport.
Le certificat n'a strictement rien à voir avec la qualité du chiffrement utilisé ni même avec le protocole SSL d'ailleurs (même s'il peut être utilisé dans l'échange de clefs).
Et d'ailleurs les ciphers les plus robustes ne font même pas intervenir le certificat dans le chiffrement de la donnée ce qui fait que même si ton certificat est pété (genre au hasard par la NSA), bha ils ne peuvent quand même pas déchiffrer.

Ton certificat à 5$ aura quoiqu'il arrive le même effet qu'un certificat à 1000$.
Il faut juste s'assurer que le fournisseur gère les clefs de 2048 et le hashage SHA-1 au minimum.
Mais je doute qu'il y ait ne serait-ce qu'une autorité ne gérant pas ça ou faisant payer un supplément pour l'avoir.

Après ils essaient même d'élargir la gamme en proposant différents niveau de "vérification" et tu peux même acheter à prix d'or un certificat qui apparaitra en vert dans le navigateur de tes clients.
Mais franchement à partir du moment où le certificat est signé par une autorité reconnue par tous les navigateurs le reste n'a que peu d'importance. S'en est même ridicule.

Dernière modification par Lael ; 16/04/2015 à 14h20.
Citation :
Publié par Lael
Je vois quand même pas le rapport.
Le certificat n'a strictement rien à voir avec la qualité du chiffrement utilisé ni même avec le protocole SSL d'ailleurs.
Et d'ailleurs les ciphers les plus robustes ne font même pas intervenir le certificat dans le chiffrement de la donnée ce qui fait que même si ton certificat est pété (genre au hasard par la NSA), bha ils ne peuvent quand même pas déchiffrer.

Ton certificat à 5$ aura quoiqu'il arrive le même effet qu'un certificat à 1000$.
Il faut juste s'assurer que le fournisseur gère les clefs de 2048 et le hashage SHA-1 au minimum.
Mais je doute qu'il y ait ne serait-ce qu'une autorité ne gérant pas ça ou faisant payer un supplément pour l'avoir.
C'est deprecated SHA-1. Si ton certificat expire apres 2016, et que c'est du SHA-1 pour ton certificat, ou un des certificats intermediaire (pas pour le certificat root : il est verifie `out of band`), Chrome le refusera et affichera une erreur equivalente aux certificats auto signes.
Citation :
Publié par Malka
C'est deprecated SHA-1. Si ton certificat expire apres 2016, et que c'est du SHA-1 pour ton certificat, ou un des certificats intermediaire (pas pour le certificat root : il est verifie `out of band`), Chrome le refusera et affichera une erreur equivalente aux certificats auto signes.
Oui on est d'accord, mais ça c'est purement un excès de zèle de la part de google. C'est hype de parler de SSL depuis l'affaire Snowden.

Mais un certificat hashé en SHA-1 est suffisamment sécurisé et le sera encore en 2016 ou même 2020 voire davantage et je doute qu'on ait le moindre cas de certificat pété qui verra le jour d'ici là.
D'autant que ce serait plutôt les autorités intermédiaires qui intéresseraient les pirates ou les agences gouvernementales. Sachant que pour ces dernières elles ont déjà prouvées qu'elles préféraient aller chercher les données à la source que d'essayer de péter une autorité ou un certificat.

Mais oui autant choisir un hashage en SHA-2 si c'est possible mais ce n'est pas non plus un drame d'un point de vue sécurité s'il ne l'est pas.

Dernière modification par Lael ; 16/04/2015 à 14h41.
Citation :
Publié par Wike l'exilé
Une certification SSL est exigée pour notamment tous les échanges EDI de factures. A ce niveau là, 500 - 2000$ / an, c'est loin d'être si abusé que ça.

La question c'est donc : pourquoi le SSL? Si c'est un petit truc sans trop de prétention, osef, le moins cher. Si c'est un truc bien plus important qui verra passer plus de thunes, mets les moyens.
En fait, c'est pour un petit commerce sans prétention. C'est un artisan qui veut pouvoir vendre en ligne pour étendre un peu la taille de son son marché qui sinon est confiné aux salons et expos.

De ce que j'en lis vous me recommandez le certificat le moins cher possible, voire même le gratuit de Malka.

Et en fait quand je disais que c'était du vent, c'était pas du protocole et du SSL en lui-même dont je parlais, mais du principe de faire payer une somme parfois astronomique pour ne pas avoir un certificat auto-signé.
You get what you pay for.

Si ton pote veut du pas cher, qu'il prenne du pas cher.
S'il veut du bon service par mail ou téléphone, l'accès à une console de gestion, un scan de vulnérabilité et la garantie d'un gros éditeur -> go Verisign, Digicert etc...

Qu'il commence pas prendre du pas cher, si son businees en ligne prend de l'ampleur il pourra toujours passer sur un fournisseur lui proposant plus de services et de support.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés