On vient de me dire que APACHE ne serait pas capable d'établir des
sessions SSL avec authentification client si l'AC racine de la chaîne de
certificats du client et l'AC racine de la chaîne de certificats du
serveur ne sont pas les mêmes.
Cela me surprend à plusieurs titres :
- rien vu sur ce sujet dans les specs TLS
- rien vu sur ce sujet dans les specs SSL V3
- difficultés évidentes en cas de glissement d'AC racine
...
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ?
- est-ce une spec du protocole ?
- est-ce une caractéristique APACHE ?
- est-ce tout simplement faux ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Marc Desperrier
Patrick Coilland wrote:
On vient de me dire que APACHE ne serait pas capable d'établir des sessions SSL avec authentification client si l'AC racine de la chaîne de certificats du client et l'AC racine de la chaîne de certificats du serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ? [...] - est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec celle qui émet le certificat serveur.
Accessirement, c'est plus pratique que IIS, car on peut configurer Apache pour présenter au client directement la sous-AC qui émet son certificat et non seulement la racine. Et donc faire que cela marche aussi quand le client n'a pas réussi à importer la chaîne complète.
Patrick Coilland wrote:
On vient de me dire que APACHE ne serait pas capable d'établir des
sessions SSL avec authentification client si l'AC racine de la chaîne de
certificats du client et l'AC racine de la chaîne de certificats du
serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ?
[...]
- est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun
problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec
celle qui émet le certificat serveur.
Accessirement, c'est plus pratique que IIS, car on peut configurer
Apache pour présenter au client directement la sous-AC qui émet son
certificat et non seulement la racine. Et donc faire que cela marche
aussi quand le client n'a pas réussi à importer la chaîne complète.
On vient de me dire que APACHE ne serait pas capable d'établir des sessions SSL avec authentification client si l'AC racine de la chaîne de certificats du client et l'AC racine de la chaîne de certificats du serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ? [...] - est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec celle qui émet le certificat serveur.
Accessirement, c'est plus pratique que IIS, car on peut configurer Apache pour présenter au client directement la sous-AC qui émet son certificat et non seulement la racine. Et donc faire que cela marche aussi quand le client n'a pas réussi à importer la chaîne complète.
Patrick Coilland
Jean-Marc Desperrier nous a récemment amicalement signifié :
Patrick Coilland wrote:
On vient de me dire que APACHE ne serait pas capable d'établir des sessions SSL avec authentification client si l'AC racine de la chaîne de certificats du client et l'AC racine de la chaîne de certificats du serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ? [...] - est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec celle qui émet le certificat serveur.
Merci de cette information qui correspond bien à ce qui me paraît normal.
Accessirement, c'est plus pratique que IIS, car on peut configurer Apache pour présenter au client directement la sous-AC qui émet son certificat et non seulement la racine. Et donc faire que cela marche aussi quand le client n'a pas réussi à importer la chaîne complète.
ah cool aussi. Merci 2 fois.
-- Patrick
Jean-Marc Desperrier nous a récemment amicalement signifié :
Patrick Coilland wrote:
On vient de me dire que APACHE ne serait pas capable d'établir des
sessions SSL avec authentification client si l'AC racine de la
chaîne de certificats du client et l'AC racine de la chaîne de
certificats du serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ?
[...]
- est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun
problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec
celle qui émet le certificat serveur.
Merci de cette information qui correspond bien à ce qui me paraît
normal.
Accessirement, c'est plus pratique que IIS, car on peut configurer
Apache pour présenter au client directement la sous-AC qui émet son
certificat et non seulement la racine. Et donc faire que cela marche
aussi quand le client n'a pas réussi à importer la chaîne complète.
Jean-Marc Desperrier nous a récemment amicalement signifié :
Patrick Coilland wrote:
On vient de me dire que APACHE ne serait pas capable d'établir des sessions SSL avec authentification client si l'AC racine de la chaîne de certificats du client et l'AC racine de la chaîne de certificats du serveur ne sont pas les mêmes.
Quelqu'un pourrait-il m'infirmer / confirmer ce comportement ? [...] - est-ce tout simplement faux ?
Je garde ce choix là. Si on configure correctement Apache, aucun problème pour utiliser une hiérarchie d'AC qui n'a rien à voir avec celle qui émet le certificat serveur.
Merci de cette information qui correspond bien à ce qui me paraît normal.
Accessirement, c'est plus pratique que IIS, car on peut configurer Apache pour présenter au client directement la sous-AC qui émet son certificat et non seulement la racine. Et donc faire que cela marche aussi quand le client n'a pas réussi à importer la chaîne complète.
