cryptage et certification

Le
Pascal
Bonjour

Je travaille sur projet de BDD avec accès par internet entre utilisateurs
d'une même société uniquement. Le site sera hébergé sur un OS windows,
serveur Web apache et langage php.

J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au
moins la partie de l'identification : par htaccess pour entrer dans le site
puis par php pour l'identification personnelle ).

Pour ça, j'ai donc installé et configuré correctement la version d'apache
avec open ssl. Tout fonctionne, je me suis crée un certificat que je me suis
signé, et j'écoute et je répond sur le port 443 sans problème.

L'ennui c'est que mon certificat n'est pas signé par une autorité de
confiance (forcément !) et du coup, j'ai dans le navigateur un message qui
peut être inquiétant pour des utilisateurs novice ou peu habitués (surtout
sur FF).
Ce que je cherche à faire, c'est d'avoir un certificat qui puisse remplir
comme actuellement le rôle de cryptage de données, mais sans certification
de l'émetteur (je n'ai pas besoin de la certification).

Hors, à priori l'un ne va pas sans l'autre, et c'est la certification qui
est payante via un organisme de certification.

Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?

Merci,

Pascal
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry B.
Le #22068341
--{ Pascal a plopé ceci: }--

Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?



On peut espérer que non.

--
Tu es prié de ne pas me piquer mes répliques.
--{ Miod, in Usenet }--
Patrick Mevzek
Le #22068331
Le Wed, 17 Sep 2008 23:44:47 +0200, Thierry B. a écrit:
Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?



On peut espérer que non.



On regrette que non, c'est dans les grandes largeurs un paravent de fumée.

Sinon pour un intranet, le certificat racine (ou le certificat lui-même
s'il est auto-signé) peut être inséré définitivement dans le navigateur,
ce qui fait que ce dernier ne couinera normalement plus les fois suivantes
(jusqu'à la date d'expiration mais qui peut être fixée arbitrairement dans
le futur si on créé son certificat soi-même)

PS: on dit chiffrer, et pas crypter.

--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
Patrick Mevzek
Le #22068321
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au
moins la partie de l'identification : par htaccess pour entrer dans le site
puis par php pour l'identification personnelle ).



Attention, tout changement de contexte entraîne un risque de sécurité.
Et notamment les basculements http/https pour juste l'authentification
peuvent créer des problèmes, selon comment l'authentification est gérée
(exemple: cas des cookies « sécurisés »).

Cela peut donc être intéressant voire souhaitable de rester en https tout
le temps.

--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
Antoine
Le #22068311
Patrick Mevzek
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion
sécurisé (au moins la partie de l'identification : par htaccess
pour entrer dans le site puis par php pour l'identification
personnelle ).



Attention, tout changement de contexte entraîne un risque de
sécurité. Et notamment les basculements http/https pour juste
l'authentification peuvent créer des problèmes, selon comment
l'authentification est gérée (exemple: cas des cookies « sécurisés
»).

Cela peut donc être intéressant voire souhaitable de rester en
https tout le temps.



En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.

--
Antoine
Pascal
Le #22068301
re,

"Patrick Mevzek" news: 48d181c9$0$15533$
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé
(au
moins la partie de l'identification : par htaccess pour entrer dans le
site
puis par php pour l'identification personnelle ).



Attention, tout changement de contexte entraîne un risque de sécurité.
Et notamment les basculements http/https pour juste l'authentification
peuvent créer des problèmes, selon comment l'authentification est gérée
(exemple: cas des cookies « sécurisés »).

Cela peut donc être intéressant voire souhaitable de rester en https tout
le temps.



merci du conseil.

@+
pascal
Olivier
Le #22068221
Bonsoir,

"Antoine"
En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.



Pascal précisait : "accès par internet entre utilisateurs d'une même société
uniquement", donc le référencement n'est probablement pas important.

A+
Olivier
Pascal
Le #22068211
Bonsoir


En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.



Pascal précisait : "accès par internet entre utilisateurs d'une même
société uniquement", donc le référencement n'est probablement pas
important.



Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps


@+
pascal
Olivier
Le #22068201
Bonsoir,

"Pascal" 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps



Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat autosigné.
Google serait bien capable de mettre ces sites dans la catégorie "sites à
risque". Je me trompe peut-être.

A+
Olivier
Pascal
Le #22068171
"Pascal" news: 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps



Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat autosigné.
Google serait bien capable de mettre ces sites dans la catégorie "sites à
risque". Je me trompe peut-être.



Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.

Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on
parcours l'indexation du site de Cacert dont le certificat n'est pas signé
par une autorité de certification de confiance. (ce qui semble un peu
paradoxal, vu le site), mais en tout cas, le site semble sorrectement
indexé.



@+
pascal
Pascal
Le #22068161
Re,


Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps



Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat
autosigné. Google serait bien capable de mettre ces sites dans la
catégorie "sites à risque". Je me trompe peut-être.



Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.

Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org
on parcours l'indexation du site de Cacert dont le certificat n'est pas
signé par une autorité de certification de confiance. (ce qui semble un
peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement
indexé.



Ce sera plus "parlant" avec ça :
http://www.google.fr/search?q=site%3Awww.cacert.org+inurl%3Ahttps

@+
pascal
Publicité
Poster une réponse
Anonyme