Les tutoriels sont toujours très simples.
Ce que je ne comprends pas, c'est comment Let's Encrypt vérifie que je suis bien le propriétaire du nom de domaine ?
Comme la plupart des certificats DV, c'est assez léger!
Enfin
si c'est clairement documenté, on ne peut pas venir se plaindre des années après la publication des procédures que c'est trop léger! On accepte ou pas à la lecture de la documentation fournie de considérer l'intégration d'un certificat racine. Je crois l'avoir déjà dit!
J'en ai assez des gens qui font semblant de ne pas avoir été averti de la qualité du produit, quand l'information était facilement accessible depuis des années (pareil pour les vaccins, pareil pour le GIEC).
C'est le rôle d'une autorité de certification. Pour les certificats EV (barre d'adresse verte) c'est complexe mais pour un certificat de base, il y a noralement au moins vérification que l'utilisateur est bien celui qui a enregistré le nom de domaine, via une simple vérification mail.
Pour mon certificat actuel avec une willcard, j'ai du envoyer à StartCom un scan de ma pièce d'identité + passeport + facture de téléphone et répondre à un appel téléphonique où on me pose quelques questions comme ma date de naissance.
Mais c'est une
demande parfaitement arbitraire d'une société qui a fixé un niveau de sécurité supérieur
quand le risque d'abus (évalué par eux) est supérieur (ex. mabanque.lafibre.fr, google.lafibre.fr, etc.).
Autrement dit, au delà des strictes obligations réglementaires, des gérants de sociétés peuvent soit penser qu'ils ont une rôle social pour préserver la sécurité des gens, au delà du strict rôle de TLS, en décourageant certaines tentative d’hameçonnage (s'il faut donner une identité réelle vérifiée pour monter une escroquerie c'est moins facile que s'il suffit de donner des coordonnées bancaires volées), ou bien ils peuvent penser qu'il vaut mieux que les utilisateurs des certificats et les clients pensent qu'ils pensent qu'ils doivent avoir un tel rôle social, ou bien penser qu'il faut que les gens le pensent, etc.
Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?
Ou pas, selon les
listes noires implèmentées.
Tu auras plus de chance de récupérer banquefrançaisetrèsobscure.fr que google.fr même en piratant le registre.