Je travaille sur projet de BDD avec accès par internet entre utilisateurs
d'une même société uniquement. Le site sera hébergé sur un OS windows,
serveur Web apache et langage php.
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au
moins la partie de l'identification : par htaccess pour entrer dans le site
puis par php pour l'identification personnelle ).
Pour ça, j'ai donc installé et configuré correctement la version d'apache
avec open ssl. Tout fonctionne, je me suis crée un certificat que je me suis
signé, et j'écoute et je répond sur le port 443... sans problème.
L'ennui c'est que mon certificat n'est pas signé par une autorité de
confiance (forcément !) et du coup, j'ai dans le navigateur un message qui
peut être inquiétant pour des utilisateurs novice ou peu habitués (surtout
sur FF).
Ce que je cherche à faire, c'est d'avoir un certificat qui puisse remplir
comme actuellement le rôle de cryptage de données, mais sans certification
de l'émetteur (je n'ai pas besoin de la certification).
Hors, à priori l'un ne va pas sans l'autre, et c'est la certification qui
est payante via un organisme de certification.
Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?
Savez vous si il existe un moyen d'utiliser un type de certificat pour crypter les échanges serveur/client, sans qu'il soit signé par une autorité de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
-- Tu es prié de ne pas me piquer mes répliques. --{ Miod, in Usenet }--
--{ Pascal a plopé ceci: }--
Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
--
Tu es prié de ne pas me piquer mes répliques.
--{ Miod, in Usenet }--
Savez vous si il existe un moyen d'utiliser un type de certificat pour crypter les échanges serveur/client, sans qu'il soit signé par une autorité de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
-- Tu es prié de ne pas me piquer mes répliques. --{ Miod, in Usenet }--
Patrick Mevzek
Le Wed, 17 Sep 2008 23:44:47 +0200, Thierry B. a écrit:
Savez vous si il existe un moyen d'utiliser un type de certificat pour crypter les échanges serveur/client, sans qu'il soit signé par une autorité de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
On regrette que non, c'est dans les grandes largeurs un paravent de fumée.
Sinon pour un intranet, le certificat racine (ou le certificat lui-même s'il est auto-signé) peut être inséré définitivement dans le navigateur, ce qui fait que ce dernier ne couinera normalement plus les fois suivantes (jusqu'à la date d'expiration mais qui peut être fixée arbitrairement dans le futur si on créé son certificat soi-même)
PS: on dit chiffrer, et pas crypter.
-- Patrick Mevzek . . . . . . . . . . . . . . Dot and Co <http://www.dotandco.net/> <http://www.dotandco.com/>
Le Wed, 17 Sep 2008 23:44:47 +0200, Thierry B. a écrit:
Savez vous si il existe un moyen d'utiliser un type de certificat pour
crypter les échanges serveur/client, sans qu'il soit signé par une autorité
de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
On regrette que non, c'est dans les grandes largeurs un paravent de fumée.
Sinon pour un intranet, le certificat racine (ou le certificat lui-même
s'il est auto-signé) peut être inséré définitivement dans le navigateur,
ce qui fait que ce dernier ne couinera normalement plus les fois suivantes
(jusqu'à la date d'expiration mais qui peut être fixée arbitrairement dans
le futur si on créé son certificat soi-même)
PS: on dit chiffrer, et pas crypter.
--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
<http://www.dotandco.net/> <http://www.dotandco.com/>
Le Wed, 17 Sep 2008 23:44:47 +0200, Thierry B. a écrit:
Savez vous si il existe un moyen d'utiliser un type de certificat pour crypter les échanges serveur/client, sans qu'il soit signé par une autorité de certification mais qui n'affiche pas de message d'erreur ?
On peut espérer que non.
On regrette que non, c'est dans les grandes largeurs un paravent de fumée.
Sinon pour un intranet, le certificat racine (ou le certificat lui-même s'il est auto-signé) peut être inséré définitivement dans le navigateur, ce qui fait que ce dernier ne couinera normalement plus les fois suivantes (jusqu'à la date d'expiration mais qui peut être fixée arbitrairement dans le futur si on créé son certificat soi-même)
PS: on dit chiffrer, et pas crypter.
-- Patrick Mevzek . . . . . . . . . . . . . . Dot and Co <http://www.dotandco.net/> <http://www.dotandco.com/>
Patrick Mevzek
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
-- Patrick Mevzek . . . . . . . . . . . . . . Dot and Co <http://www.dotandco.net/> <http://www.dotandco.com/>
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au
moins la partie de l'identification : par htaccess pour entrer dans le site
puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité.
Et notamment les basculements http/https pour juste l'authentification
peuvent créer des problèmes, selon comment l'authentification est gérée
(exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout
le temps.
--
Patrick Mevzek . . . . . . . . . . . . . . Dot and Co
<http://www.dotandco.net/> <http://www.dotandco.com/>
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
-- Patrick Mevzek . . . . . . . . . . . . . . Dot and Co <http://www.dotandco.net/> <http://www.dotandco.com/>
Antoine
Patrick Mevzek wrote :
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
-- Antoine
Patrick Mevzek <pm-N200809@nospam.dotandco.com> wrote :
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion
sécurisé (au moins la partie de l'identification : par htaccess
pour entrer dans le site puis par php pour l'identification
personnelle ).
Attention, tout changement de contexte entraîne un risque de
sécurité. Et notamment les basculements http/https pour juste
l'authentification peuvent créer des problèmes, selon comment
l'authentification est gérée (exemple: cas des cookies « sécurisés
»).
Cela peut donc être intéressant voire souhaitable de rester en
https tout le temps.
En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
-- Antoine
Pascal
re,
"Patrick Mevzek" a écrit dans le message de news: 48d181c9$0$15533$
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
merci du conseil.
@+ pascal
re,
"Patrick Mevzek" <pm-N200809@nospam.dotandco.com> a écrit dans le message de
news: 48d181c9$0$15533$426a74cc@news.free.fr...
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé
(au
moins la partie de l'identification : par htaccess pour entrer dans le
site
puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité.
Et notamment les basculements http/https pour juste l'authentification
peuvent créer des problèmes, selon comment l'authentification est gérée
(exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout
le temps.
"Patrick Mevzek" a écrit dans le message de news: 48d181c9$0$15533$
Le Wed, 17 Sep 2008 23:11:17 +0200, Pascal a écrit:
J'aimerai qu'au moins une partie du site se fasse en connexion sécurisé (au moins la partie de l'identification : par htaccess pour entrer dans le site puis par php pour l'identification personnelle ).
Attention, tout changement de contexte entraîne un risque de sécurité. Et notamment les basculements http/https pour juste l'authentification peuvent créer des problèmes, selon comment l'authentification est gérée (exemple: cas des cookies « sécurisés »).
Cela peut donc être intéressant voire souhaitable de rester en https tout le temps.
merci du conseil.
@+ pascal
Olivier
Bonsoir,
"Antoine" a écrit dans le message de news:
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même société uniquement", donc le référencement n'est probablement pas important.
A+ Olivier
Bonsoir,
"Antoine" <noemail@noemail.invalid> a écrit dans le message de news:
Xns9B1D3F676E11DAntoineNews@193.252.117.183...
En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même société
uniquement", donc le référencement n'est probablement pas important.
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même société uniquement", donc le référencement n'est probablement pas important.
A+ Olivier
Pascal
Bonsoir
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même société uniquement", donc le référencement n'est probablement pas important.
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
@+ pascal
Bonsoir
En termes de référencement, mieux vaut laisser en http les pages
générales ie celles pour lesquelles aucun accès authentifié n'est
nécessaire. Reste à voir ce qu'il faut privilégier : sécurité,
référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même
société uniquement", donc le référencement n'est probablement pas
important.
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
En termes de référencement, mieux vaut laisser en http les pages générales ie celles pour lesquelles aucun accès authentifié n'est nécessaire. Reste à voir ce qu'il faut privilégier : sécurité, référencement, souplesse d'authentificaiton, etc.
Pascal précisait : "accès par internet entre utilisateurs d'une même société uniquement", donc le référencement n'est probablement pas important.
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
@+ pascal
Olivier
Bonsoir,
"Pascal" a écrit dans le message de news: 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
A+ Olivier
Bonsoir,
"Pascal" <pascal@faiquinexistepas.invalid> a écrit dans le message de news:
48d2aaf7$1$12436$7a628cd7@news.club-internet.fr...
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat autosigné.
Google serait bien capable de mettre ces sites dans la catégorie "sites à
risque". Je me trompe peut-être.
"Pascal" a écrit dans le message de news: 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
A+ Olivier
Pascal
"Pascal" a écrit dans le message de news: 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on parcours l'indexation du site de Cacert dont le certificat n'est pas signé par une autorité de certification de confiance. (ce qui semble un peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement indexé.
@+ pascal
"Pascal" <pascal@faiquinexistepas.invalid> a écrit dans le message de
news: 48d2aaf7$1$12436$7a628cd7@news.club-internet.fr...
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat autosigné.
Google serait bien capable de mettre ces sites dans la catégorie "sites à
risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on
parcours l'indexation du site de Cacert dont le certificat n'est pas signé
par une autorité de certification de confiance. (ce qui semble un peu
paradoxal, vu le site), mais en tout cas, le site semble sorrectement
indexé.
"Pascal" a écrit dans le message de news: 48d2aaf7$1$12436$
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on parcours l'indexation du site de Cacert dont le certificat n'est pas signé par une autorité de certification de confiance. (ce qui semble un peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement indexé.
@+ pascal
Pascal
Re,
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on parcours l'indexation du site de Cacert dont le certificat n'est pas signé par une autorité de certification de confiance. (ce qui semble un peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement indexé.
Ce sera plus "parlant" avec ça : http://www.google.fr/search?q=site%3Awww.cacert.org+inurl%3Ahttps
@+ pascal
Re,
Oui, tout à fait. Mais j'ignorais que le référencement de pages https
pouvait être problématique sur certains moteurs.
A priori, google les indexe :
http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis
pas sûr qu'il indexe correctement les sites ayant un certificat
autosigné. Google serait bien capable de mettre ces sites dans la
catégorie "sites à risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org
on parcours l'indexation du site de Cacert dont le certificat n'est pas
signé par une autorité de certification de confiance. (ce qui semble un
peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement
indexé.
Ce sera plus "parlant" avec ça :
http://www.google.fr/search?q=site%3Awww.cacert.org+inurl%3Ahttps
Oui, tout à fait. Mais j'ignorais que le référencement de pages https pouvait être problématique sur certains moteurs. A priori, google les indexe : http://www.google.fr/search?hl=fr&q=inurl%3Ahttps
Google indexe les pages https ayant un certificat valide, mais je ne suis pas sûr qu'il indexe correctement les sites ayant un certificat autosigné. Google serait bien capable de mettre ces sites dans la catégorie "sites à risque". Je me trompe peut-être.
Je n'ai pas trouvé la réponse qui permet de l'affirmer ou pas.
Toutefois, en faisant http://www.google.fr/search?q=site%3Awww.cacert.org on parcours l'indexation du site de Cacert dont le certificat n'est pas signé par une autorité de certification de confiance. (ce qui semble un peu paradoxal, vu le site), mais en tout cas, le site semble sorrectement indexé.
Ce sera plus "parlant" avec ça : http://www.google.fr/search?q=site%3Awww.cacert.org+inurl%3Ahttps
