Le 3 décembre 2008 17:06, rvenne a écrit :
> bonjour,
>
> corrigez si je me trompe,
>
> 2 certificats ssl fonctionnent vraiment sur le même host, avec le m ême
port?
Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Le 3 décembre 2008 17:06, rvenne <rvenne@meditrans.fr> a écrit :
> bonjour,
>
> corrigez si je me trompe,
>
> 2 certificats ssl fonctionnent vraiment sur le même host, avec le m ême
port?
Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Le 3 décembre 2008 17:06, rvenne a écrit :
> bonjour,
>
> corrigez si je me trompe,
>
> 2 certificats ssl fonctionnent vraiment sur le même host, avec le m ême
port?
Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
dans mon cas
$openssl verify /etc/apache2/sslkeys/www.toto.fr.key
donne
/etc/apache2/sslkeys/dev.jojolapin.net.crt: /C=FR/ST=Ile de
France/L=Paris/O=toto corp/OU=System support/CN=
www.toto.fr/emailAddress=
error 18 at 0 depth lookup:self signed certificate
OK
J'ai bien le bon CN mais je n'ai toujours pas le bon certificat quand je
charge la page.
Et en fait, la raison pour laquelle j'utilise des certificats autosigné
c'est que je veux d'abord testé avant d'acheter de vrais certificats Th awte
ou Verizon ou je paye a chaque modification
Le 3 décembre 2008 18:38, Kevin Hinault a écrit :
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un>> certificat auto-signé.
>
> Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.
>> 4 / Dans ta conf apache tu devras donner le certificat publique de la
>> ca et pour chaque virtualhost, le certificat privé et le certificat
>> publique de celui-ci.
>
> Et ça par contre, c'est pas possible, on ne peut pas
> utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n 'est
pas bon, on perd déjà l'authentification et donc les autres devienne nt
forcément absurde.
Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
dans mon cas
$openssl verify /etc/apache2/sslkeys/www.toto.fr.key
donne
/etc/apache2/sslkeys/dev.jojolapin.net.crt: /C=FR/ST=Ile de
France/L=Paris/O=toto corp/OU=System support/CN=
www.toto.fr/emailAddress=toto@toto.fr
error 18 at 0 depth lookup:self signed certificate
OK
J'ai bien le bon CN mais je n'ai toujours pas le bon certificat quand je
charge la page.
Et en fait, la raison pour laquelle j'utilise des certificats autosigné
c'est que je veux d'abord testé avant d'acheter de vrais certificats Th awte
ou Verizon ou je paye a chaque modification
Le 3 décembre 2008 18:38, Kevin Hinault <hinault@gmail.com> a écrit :
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un
>> certificat auto-signé.
>
> Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.
>> 4 / Dans ta conf apache tu devras donner le certificat publique de la
>> ca et pour chaque virtualhost, le certificat privé et le certificat
>> publique de celui-ci.
>
> Et ça par contre, c'est pas possible, on ne peut pas
> utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n 'est
pas bon, on perd déjà l'authentification et donc les autres devienne nt
forcément absurde.
Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
dans mon cas
$openssl verify /etc/apache2/sslkeys/www.toto.fr.key
donne
/etc/apache2/sslkeys/dev.jojolapin.net.crt: /C=FR/ST=Ile de
France/L=Paris/O=toto corp/OU=System support/CN=
www.toto.fr/emailAddress=
error 18 at 0 depth lookup:self signed certificate
OK
J'ai bien le bon CN mais je n'ai toujours pas le bon certificat quand je
charge la page.
Et en fait, la raison pour laquelle j'utilise des certificats autosigné
c'est que je veux d'abord testé avant d'acheter de vrais certificats Th awte
ou Verizon ou je paye a chaque modification
Le 3 décembre 2008 18:38, Kevin Hinault a écrit :
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un>> certificat auto-signé.
>
> Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.
>> 4 / Dans ta conf apache tu devras donner le certificat publique de la
>> ca et pour chaque virtualhost, le certificat privé et le certificat
>> publique de celui-ci.
>
> Et ça par contre, c'est pas possible, on ne peut pas
> utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n 'est
pas bon, on perd déjà l'authentification et donc les autres devienne nt
forcément absurde.
Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
Un autre gros problème de cette méthode est qu'elle n'est pas
vraiment applicable au cas (courant?) de virtual hosting de sites
indépendants sur serveur mutualisé: par exemple plusieurs boutiques,
dont certains sont peut-être des escrocs, hébergés par le même
hébergeur.
Un autre gros problème de cette méthode est qu'elle n'est pas
vraiment applicable au cas (courant?) de virtual hosting de sites
indépendants sur serveur mutualisé: par exemple plusieurs boutiques,
dont certains sont peut-être des escrocs, hébergés par le même
hébergeur.
Un autre gros problème de cette méthode est qu'elle n'est pas
vraiment applicable au cas (courant?) de virtual hosting de sites
indépendants sur serveur mutualisé: par exemple plusieurs boutiques,
dont certains sont peut-être des escrocs, hébergés par le même
hébergeur.
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere
la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée
privée du site italien differente de la francaise
Maintenant lorsque je relance apache avec ces options dans le fichier de
configuration pour toto.fr et toto.it je n'ai plus aucun proble pour
recharcher mais c'est le premier certificat qui est proposée a tous les
sites
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere
la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée
privée du site italien differente de la francaise
Maintenant lorsque je relance apache avec ces options dans le fichier de
configuration pour toto.fr et toto.it je n'ai plus aucun proble pour
recharcher mais c'est le premier certificat qui est proposée a tous les
sites
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere
la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée
privée du site italien differente de la francaise
Maintenant lorsque je relance apache avec ces options dans le fichier de
configuration pour toto.fr et toto.it je n'ai plus aucun proble pour
recharcher mais c'est le premier certificat qui est proposée a tous les
sites
Pas Verizone mais verisign, désolé
2008/12/6 Stephane Bortzmeyer
On Sat, Dec 06, 2008 at 08:41:49PM +0100,Johan Dindaine wrote
a message of 112 lines which said:
> Je peux faire certifier une telle clée avec Verizon ou thawte?
Verizon fait des certificats SSL ? Cela n'apparait pas clairement sur
leur site.
> Enfin existe t-il des organisme reconnus qui certifient des clés
> TLS.
Reconnus par qui ?
Pas Verizone mais verisign, désolé
2008/12/6 Stephane Bortzmeyer <stephane@sources.org>
On Sat, Dec 06, 2008 at 08:41:49PM +0100,
Johan Dindaine <jojolapin972@gmail.com> wrote
a message of 112 lines which said:
> Je peux faire certifier une telle clée avec Verizon ou thawte?
Verizon fait des certificats SSL ? Cela n'apparait pas clairement sur
leur site.
> Enfin existe t-il des organisme reconnus qui certifient des clés
> TLS.
Reconnus par qui ?
Pas Verizone mais verisign, désolé
2008/12/6 Stephane Bortzmeyer
On Sat, Dec 06, 2008 at 08:41:49PM +0100,Johan Dindaine wrote
a message of 112 lines which said:
> Je peux faire certifier une telle clée avec Verizon ou thawte?
Verizon fait des certificats SSL ? Cela n'apparait pas clairement sur
leur site.
> Enfin existe t-il des organisme reconnus qui certifient des clés
> TLS.
Reconnus par qui ?
>> Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
>> Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
>> Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
[...] je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
Ils ne sont pas plus "vrais" en effet ... par contre on considère que
ces certificats sont plus "sur" .... pourquoi ? [...] des entreprises en
ont fait leur beurre mais c'est aussi ce qui leur donne cette
reconnaissance et ce pourquoi on leur fait confiance.
[...] je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
Ils ne sont pas plus "vrais" en effet ... par contre on considère que
ces certificats sont plus "sur" .... pourquoi ? [...] des entreprises en
ont fait leur beurre mais c'est aussi ce qui leur donne cette
reconnaissance et ce pourquoi on leur fait confiance.
[...] je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon
« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.
Ils ne sont pas plus "vrais" en effet ... par contre on considère que
ces certificats sont plus "sur" .... pourquoi ? [...] des entreprises en
ont fait leur beurre mais c'est aussi ce qui leur donne cette
reconnaissance et ce pourquoi on leur fait confiance.
on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartiale
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartiale
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartiale
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
>> on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartia le
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
Moui, cela me rappelle les commerciaux de Microsoft disant que leur
produit est meilleur car il a été choisi par d'avantage de gens que
Debian.
Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
plusieurs possibilités avant de décider ?
De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
de certification qui sont dans leur navigateur ? (J'en connais un :
Randy Bush supprime toujours toutes les CA puis ajoute une par une
celles qu'il a personnellement évaluées. Qui en fait autant ?)
Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
certification turque, le gouvernement de Taïwan, et plein d'autres
boîtes toutes plus inconnues les unes que les autres. Qui les a
évaluées ?S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?
>> on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartia le
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
Moui, cela me rappelle les commerciaux de Microsoft disant que leur
produit est meilleur car il a été choisi par d'avantage de gens que
Debian.
Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
plusieurs possibilités avant de décider ?
De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
de certification qui sont dans leur navigateur ? (J'en connais un :
Randy Bush supprime toujours toutes les CA puis ajoute une par une
celles qu'il a personnellement évaluées. Qui en fait autant ?)
Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
certification turque, le gouvernement de Taïwan, et plein d'autres
boîtes toutes plus inconnues les unes que les autres. Qui les a
évaluées ?
S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?
>> on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartia le
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...
Moui, cela me rappelle les commerciaux de Microsoft disant que leur
produit est meilleur car il a été choisi par d'avantage de gens que
Debian.
Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
plusieurs possibilités avant de décider ?
De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
de certification qui sont dans leur navigateur ? (J'en connais un :
Randy Bush supprime toujours toutes les CA puis ajoute une par une
celles qu'il a personnellement évaluées. Qui en fait autant ?)
Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
certification turque, le gouvernement de Taïwan, et plein d'autres
boîtes toutes plus inconnues les unes que les autres. Qui les a
évaluées ?S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.
Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?