OVH Cloud OVH Cloud

Certificats SSL

39 réponses
Avatar
Johan Dindaine
------=_Part_41594_9782277.1228315961510
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
disponibles en HTTPS.

J'ai donc cr=E9=E9 un certificat priv=E9 pr le serveur
openssl genrsa -out cleeprivee.key 1024

et cr=E9er deux cl=E9es pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt

maintenant pour configurer mes site j'utilise la bonne cl=E9e certifi=E9e p=
our
chacune d'entre elles mais la meme cl=E9e priv=E9e pour les deux comme ceci

<VirtualHost *:443>
ServerAdmin j.dindaine@cosmics.com
ServerName site1

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site1.crt
...
</VirtualHost>

<VirtualHost *:443>
ServerAdmin j.dindaine@cosmics.com
ServerName site2

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site2.crt
...
</VirtualHost>

Au demarrage j'ai pourtant l'erreur suivante:
[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server certificate
from file /etc/apache2/cleeprivee.key
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960
error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

Ceci est du a quoi???

------=_Part_41594_9782277.1228315961510
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,<br>J&#39;ai plusieurs site sur le meme serveur et je voudrais en m=
ettre quelques disponibles en HTTPS.<br><br>J&#39;ai donc cr=E9=E9 un certi=
ficat priv=E9 pr le serveur<br>openssl genrsa -out cleeprivee.key 1024<br><=
br>
et cr=E9er deux cl=E9es pour mes sites<br>openssl req -new -x509 -days 365 =
-key cleeprivee.key -out site1.crt<br>openssl req -new -x509 -days 365 -key=
cleeprivee.key -out site2.crt<br><br>maintenant pour configurer mes site j=
&#39;utilise la bonne cl=E9e certifi=E9e pour chacune d&#39;entre elles mai=
s la meme cl=E9e priv=E9e pour les deux comme ceci<br>
<br>&lt;VirtualHost *:443&gt;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAdmin <a href=3D"mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerName site1<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLEngine on<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateKeyFile /etc/apach=
e2/site1.crt<br>
...<br>
&lt;/VirtualHost&gt;<br><br>&lt;VirtualHost *:443&gt;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAdmin <a href=3D"mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerName site2<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLEngine on<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateKeyFile /etc/apach=
e2/site2.crt<br>
...<br>
&lt;/VirtualHost&gt;<br><br>Au demarrage j&#39;ai pourtant l&#39;erreur sui=
vante:<br>[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server ce=
rtificate from file /etc/apache2/cleeprivee.key<br>[Wed Dec 03 14:33:32 200=
8] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routin=
es:ASN1_CHECK_TLEN:wrong tag<br>
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386 error:0D078=
03A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error<br><br>Ceci e=
st du a quoi???<br>

------=_Part_41594_9782277.1228315961510--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

10 réponses

1 2 3 4
Avatar
Johan Dindaine
------=_Part_22617_430628.1228507581833
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

En fait pour resumer j'ai une application (puisse que je suis d'abord
développer) qui repond a plusieurs URL (avec des ServerAlias pour la vers ion
HTTP). Et je dois reproduire le meme scenario en HTTPS.

http://www.toto.fr |
| ======>>>>> /home/apache/site_http
http://www.toto.it |

https://www.toto.fr |
| ======>>>>> /home/apache/site_htt ps
https://www.toto.it |

openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere
la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée
privée du site italien differente de la francaise
openssl req -new -key www.toto.fr.key -out www.toto.fr.csr #je demande le
Certificate Signing Request pour
openssl req -new -key www.toto.it.key -out www.toto.it.csr # chaques sites
openssl x509 -req -days 365 -in www.toto.fr.csr -signkey www.toto.fr.key
-out www.toto.fr.crt #j'authentifie avec ma clee privee
openssl x509 -req -days 365 -in www.toto.it.csr -signkey www.toto.it.key
-out www.toto.it.crt
Maintenant lorsque je relance apache avec ces options dans le fichier de
configuration pour toto.fr et toto.it je n'ai plus aucun proble pour
recharcher mais c'est le premier certificat qui est proposée a tous les
sites
SSLEngine on
SSLCertificateFile /etc/apache2/www.toto.fr.key
SSLCertificateKeyFile /etc/apache2/www.toto.fr.crt

Le 3 décembre 2008 16:13, Kevin Hinault a écrit :

Le 3 décembre 2008 17:06, rvenne a écrit :
> bonjour,
>
> corrigez si je me trompe,
>
> 2 certificats ssl fonctionnent vraiment sur le même host, avec le m ême
port?

Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.

Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)

Kévin.

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact






------=_Part_22617_430628.1228507581833
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

En fait pour resumer j&#39;ai une application (puisse que je suis d&#39;abo rd développer) qui repond a plusieurs URL (avec des ServerAlias pour la v ersion HTTP). Et je dois reproduire le meme scenario en HTTPS.<br><br><a hr ef="http://www.toto.fr">http://www.toto.fr</a>&nbsp; |<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp; | ======&gt;&gt;&gt;&gt;&gt; /home/apache/site_http<br>< a href="http://www.toto.it">http://www.toto.it</a>&nbsp; |<br><br><a href ="https://www.toto.fr">https://www.toto.fr</a>&nbsp; |<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nb sp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; | ======&gt;&gt;&gt;&gt;&gt; /home/apache/site_htt ps<br><a href="https://www.toto.it">https://www.toto.it</a>&nbsp; |<br><b r>openssl genrsa -des3 1024 -rand /var/log/messages &gt; www.toto.fr.key #g enere la clée privée du site francais<br>
openssl genrsa -des3 1024 -rand /var/log/messages &gt; www.toto.it.key #cl ée privée du site italien differente de la francaise<br>openssl req -ne w -key www.toto.fr.key -out www.toto.fr.csr #je demande le Certificate Sign ing Request pour <br>
openssl req -new -key www.toto.it.key -out www.toto.it.csr # chaques sites< br>openssl x509 -req -days 365 -in www.toto.fr.csr -signkey www.toto.fr.key -out www.toto.fr.crt #j&#39;authentifie avec ma clee privee<br>openssl x50 9 -req -days 365 -in www.toto.it.csr -signkey www.toto.it.key -out www.toto .it.crt<br>
Maintenant lorsque je relance apache avec ces options dans le fichier de co nfiguration pour <a href="http://toto.fr">toto.fr</a> et <a href="http: //toto.it">toto.it</a> je n&#39;ai plus aucun proble pour recharcher mais c &#39;est le premier certificat qui est proposée a tous les sites<br>
SSLEngine on<br>SSLCertificateFile /etc/apache2/www.toto.fr.key<br>SSLCerti ficateKeyFile /etc/apache2/www.toto.fr.crt<br><br><div class="gmail_quote ">Le 3 décembre 2008 16:13, Kevin Hinault <span dir="ltr">&lt;<a href ="mailto:"></a>&gt;</span> a écrit :< br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Le 3 décembre 2 008 17:06, rvenne &lt;<a href="mailto:"> ns.fr</a>&gt; a écrit :<br>

<div class="Ih2E3d">&gt; bonjour,<br>
&gt;<br>
&gt; corrigez si je me trompe,<br>
&gt;<br>
&gt; 2 certificats ssl fonctionnent vraiment sur le même host, avec le m ême port?<br>
<br>
</div>Le même port ne pose pas de problème puisque les directives<br>
&quot;ServerName <a href="http://truc.machin.com" target="_blank">truc. machin.com</a>&quot; dans les deux virtualhost sont présentes.<br>
C&#39;est ce qui va permettre d&#39;utiliser l&#39;un ou l&#39;autre virtua lhost.<br>
<br>
Par contre, pour être propre, il faut que les directives correspondent<br >
au champs DN du certificat x509 utilisé sous peine de voir le<br>
navigateur prévenir d&#39;un potentiel &quot;fishing&quot;. (ici s1 et s2 )<br>
<br>
Kévin.<br>
<div><div></div><div class="Wj3C7c"><br>
--<br>
Vous aimez la bretagne ?<br>
Breizh da viken : <a href="http://www.pointbzh.com" target="_blank">www .pointbzh.com</a><br>
<br>
</div></div><font color="#888888">--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>
&quot;Reply-To:&quot;<br>
<br>
To UNSUBSCRIBE, email to <a href="mailto: .debian.org"></a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:"></a><br>
<br>
</font></blockquote></div><br>

------=_Part_22617_430628.1228507581833--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Johan Dindaine
------=_Part_22781_32102008.1228508455230
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

dans mon cas
$openssl verify /etc/apache2/sslkeys/www.toto.fr.key
donne
/etc/apache2/sslkeys/dev.jojolapin.net.crt: /C=FR/ST=Ile de
France/L=Paris/O=toto corp/OU=System support/CN=
www.toto.fr/emailAddress=
error 18 at 0 depth lookup:self signed certificate
OK
J'ai bien le bon CN mais je n'ai toujours pas le bon certificat quand je
charge la page.

Et en fait, la raison pour laquelle j'utilise des certificats autosigné
c'est que je veux d'abord testé avant d'acheter de vrais certificats Th awte
ou Verizon ou je paye a chaque modification

Le 3 décembre 2008 18:38, Kevin Hinault a écrit :

>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un
>> certificat auto-signé.
>
> Bah non, il suffit d'ajouter -x509 dans sa commande...

Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.

>> 4 / Dans ta conf apache tu devras donner le certificat publique de la
>> ca et pour chaque virtualhost, le certificat privé et le certificat
>> publique de celui-ci.
>
> Et ça par contre, c'est pas possible, on ne peut pas
> utiliser https avec des virtual hosts, c'est pas possible.

Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n 'est
pas bon, on perd déjà l'authentification et donc les autres devienne nt
forcément absurde.

Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact









------=_Part_22781_32102008.1228508455230
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<br><div class="gmail_quote"><blockquote class="gmail_quote" style="b order-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; paddin g-left: 1ex;">dans mon cas <br>$openssl verify /etc/apache2/sslkeys/www.tot o.fr.key<br>
donne<br>/etc/apache2/sslkeys/dev.jojolapin.net.crt: /C=FR/ST=Ile de Fr ance/L=Paris/O=toto corp/OU=System support/CN=<a href="http://www .toto.fr/emailAddress=" target="_blank">www.toto.fr/emailAd dress=</a><br>

error 18 at 0 depth lookup:self signed certificate<br>OK<br>J&#39;ai bien l e bon CN mais je n&#39;ai toujours pas le bon certificat quand je charge la page.<br><br>Et en fait, la raison pour laquelle j&#39;utilise des certifi cats autosigné c&#39;est que je veux d&#39;abord testé avant d&#39;ache ter de vrais certificats Thawte ou Verizon ou je paye a chaque modification <br>

<br><div class="gmail_quote">Le 3 décembre 2008 18:38, Kevin Hinault <s pan dir="ltr">&lt;<a href="mailto:" target="_blank"> </a>&gt;</span> a écrit :<div><div></div><div class="W j3C7c"><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>&gt;&gt; 4 / Une autorité de certification (CA) est la seule capable d&#39;avoir un<br>
&gt;&gt; certificat auto-signé.<br>
&gt;<br>
&gt; Bah non, il suffit d&#39;ajouter -x509 dans sa commande...<br>
<br>
</div>Si on veut faire du SSL/TLS autant le faire bien sinon c&#39;est pas la<br>
peine d&#39;en faire ;)<br>
Avoir ces propres certificats auto-signés revient à rendre ces<br>
certificats inacceptables dans la plupart des cas.<br>
<div><br>
&gt;&gt; 4 / Dans ta conf apache tu devras donner le certificat publique de la<br>
&gt;&gt; ca et pour chaque virtualhost, le certificat privé et le certifi cat<br>
&gt;&gt; publique de celui-ci.<br>
&gt;<br>
&gt; Et ça par contre, c&#39;est pas possible, on ne peut pas<br>
&gt; utiliser https avec des virtual hosts, c&#39;est pas possible.<br>
<br>
</div>Si si c&#39;est possible heureusement &nbsp;: le champ CN (pardon j&# 39;avais dit<br>
DN) du certificat x509 devrait d&#39;ailleurs toujours correspondre au nom< br>
du domaine appelé et donc au NameServer du Virtualhost..<br>
C&#39;est ce champ qui permet d&#39;identifier le site sur lequel on va.<br >
Les certificats permettent 4 principes : authentification,<br>
non-répudiation, chiffrement, préservation des données. Si le DN n&#3 9;est<br>
pas bon, on perd déjà l&#39;authentification et donc les autres devienn ent<br>
forcément absurde.<br>
<br>
Comme l&#39;a justement dit Mario :<br>
<div><a href="http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.f r" target="_blank">http://www.hsc.fr/ressources/breves/ssl_virtualhosts.h tml.fr</a><br>
<br>
</div><div><div></div><div>--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>
&quot;Reply-To:&quot;<br>
<br>
To UNSUBSCRIBE, email to <a href="mailto: .debian.org" target="_blank">< /a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:" target="_blank"> rg</a><br>
<br>
</div></div></blockquote></div></div></div><br>
</blockquote></div><br>

------=_Part_22781_32102008.1228508455230--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Stephane Bortzmeyer
On Fri, Dec 05, 2008 at 08:20:54PM +0000,
Johan Dindaine wrote
a message of 163 lines which said:

Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon



« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Stephane Bortzmeyer
On Fri, Dec 05, 2008 at 07:39:15AM +0100,
Yves Rutschle wrote
a message of 44 lines which said:

Un autre gros problème de cette méthode est qu'elle n'est pas
vraiment applicable au cas (courant?) de virtual hosting de sites
indépendants sur serveur mutualisé: par exemple plusieurs boutiques,
dont certains sont peut-être des escrocs, hébergés par le même
hébergeur.



Cela serait une attaque compliquée, s'il fallait être sur la même
machine que la banque qu'on veut imiter :-)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Stephane Bortzmeyer
On Fri, Dec 05, 2008 at 08:06:21PM +0000,
Johan Dindaine wrote
a message of 170 lines which said:

openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere
la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée
privée du site italien differente de la francaise



C'est peut-être l'erreur : une seule clé avec plusieurs noms
<http://www.bortzmeyer.org/plusieurs-noms-dans-certificat.html> aurait
été une solution plus adaptée à votre cas spécifique.

Maintenant lorsque je relance apache avec ces options dans le fichier de
configuration pour toto.fr et toto.it je n'ai plus aucun proble pour
recharcher mais c'est le premier certificat qui est proposée a tous les
sites



Ben oui, mod_ssl ne gère pas SNI (Server Name Indication
<http://signal.eu.org/blog/2008/11/25/adieu-rfc-2817-bonjour-rfc-3546/>),
il faut mod_gnutls (qui est packagé dans Debian
<http://www.bortzmeyer.org/apache-et-gnutls.html>).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Johan Dindaine
------=_Part_32996_26722453.1228598318852
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline


Pas Verizone mais verisign, désolé

2008/12/6 Stephane Bortzmeyer

On Sat, Dec 06, 2008 at 08:41:49PM +0100,
Johan Dindaine wrote
a message of 112 lines which said:

> Je peux faire certifier une telle clée avec Verizon ou thawte?

Verizon fait des certificats SSL ? Cela n'apparait pas clairement sur
leur site.

> Enfin existe t-il des organisme reconnus qui certifient des clés
> TLS.

Reconnus par qui ?








------=_Part_32996_26722453.1228598318852
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div class="gmail_quote"><blockquote class="gmail_quote" style="borde r-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-le ft: 1ex;">Pas Verizone mais verisign, désolé<br><br><div class="gmail _quote">2008/12/6 Stephane Bortzmeyer <span dir="ltr">&lt;<a href="mail to:" target="_blank"></a>&gt;</sp an><div>
<div></div><div class="Wj3C7c"><br><blockquote class="gmail_quote" styl e="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Sat, Dec 06, 2008 at 08:41:49PM +0100,<br>
<div>&nbsp;Johan Dindaine &lt;<a href="mailto:" tar get="_blank"></a>&gt; wrote<br>
</div><div>&nbsp;a message of 112 lines which said:<br>
<br>
&gt; Je peux faire certifier une telle clée avec Verizon ou thawte?<br>
<br>
</div>Verizon fait des certificats SSL ? Cela n&#39;apparait pas clairement sur<br>
leur site.<br>
<div><br>
&gt; Enfin existe t-il des organisme reconnus qui certifient des clés<br>
&gt; TLS.<br>
<br>
</div>Reconnus par qui ?<br>
</blockquote></div></div></div><br>
</blockquote></div><br>

------=_Part_32996_26722453.1228598318852--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
>> Et en fait, la raison pour laquelle j'utilise des certificats
autosigné c'est que je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon



« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.




Ils ne sont pas plus "vrais" en effet ... par contre on considère que
ces certificats sont plus "sur" .... pourquoi ? parce que SSL/TLS se
base sur le principe du tiers : en gros une autorité neutre et
reconnue mondialement (donc censé être impartiale et de confiance)
sert de "notaire", ce qui amène une gestion hiérarchique des
certificats : deux personnes sont certifiées par une tierce personne
et donc ils peuvent communiquer, cette tierce personne est
authentifiée par une autre, etc ... Après bien sur des entreprises en
ont fait leur beurre mais c'est aussi ce qui leur donne cette
reconnaissance et ce pourquoi on leur fait confiance. S'ils donnaient
leurs certificats à la volée sans aucun controle, on pourrait
difficilement leur faire confiance.


--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
David Prévot
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Kevin Hinault a écrit :
[...] je veux d'abord testé avant d'acheter de vrais
certificats Thawte ou Verizon


« Vrais » ? Ils ne sont pas plus vrais que les autres, juste plus
chers.



Ils ne sont pas plus "vrais" en effet ... par contre on considère que
ces certificats sont plus "sur" .... pourquoi ? [...] des entreprises en
ont fait leur beurre mais c'est aussi ce qui leur donne cette
reconnaissance et ce pourquoi on leur fait confiance.



Heureusement, il y a un monde entre « la confiance » et « l'argent » (ou
le « prix », ou le « cher »). Il existe des certificats (tiers personne
de confiance) basés sur d'autres principes que le prix (Cacert [1] pour
en citer un).

[1] http://www.cacert.org/

Et sinon, parce que vendredi c'était hier quelque part, j'ai entendu la
radio récemment et j'ai cru comprendre que la « confiance » était plutôt
dissociée de « l'économie » (mais peut-être que je n'ai rien compris ;).

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkk7WiEACgkQ18/WetbTC/q1yQCfR/T12wR87gVJSgRWuw3XJJVb
8ccAoJhLbgaW+56Xu+g98H4QEpK1HNEf
=EJ/t
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Stephane Bortzmeyer
On Sun, Dec 07, 2008 at 02:55:07AM +0100,
Kevin Hinault wrote
a message of 34 lines which said:

on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartiale
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...



Moui, cela me rappelle les commerciaux de Microsoft disant que leur
produit est meilleur car il a été choisi par d'avantage de gens que
Debian.

Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
plusieurs possibilités avant de décider ?

De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
de certification qui sont dans leur navigateur ? (J'en connais un :
Randy Bush supprime toujours toutes les CA puis ajoute une par une
celles qu'il a personnellement évaluées. Qui en fait autant ?)

Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
certification turque, le gouvernement de Taïwan, et plein d'autres
boîtes toutes plus inconnues les unes que les autres. Qui les a
évaluées ?

S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.



Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
>> on considère que ces certificats sont plus "sur" .... pourquoi ?
parce que SSL/TLS se base sur le principe du tiers : en gros une
autorité neutre et reconnue mondialement (donc censé être impartia le
et de confiance) sert de "notaire", ce qui amène une gestion
hiérarchique des certificats : deux personnes sont certifiées par
une tierce personne et donc ils peuvent communiquer, cette tierce
personne est authentifiée par une autre, etc ...



Moui, cela me rappelle les commerciaux de Microsoft disant que leur
produit est meilleur car il a été choisi par d'avantage de gens que
Debian.

Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
plusieurs possibilités avant de décider ?

De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
de certification qui sont dans leur navigateur ? (J'en connais un :
Randy Bush supprime toujours toutes les CA puis ajoute une par une
celles qu'il a personnellement évaluées. Qui en fait autant ?)

Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
certification turque, le gouvernement de Taïwan, et plein d'autres
boîtes toutes plus inconnues les unes que les autres. Qui les a
évaluées ?

S'ils donnaient leurs certificats à la volée sans aucun controle, on
pourrait difficilement leur faire confiance.



Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?



Doucement Stéphane, je n'ai jamais dit que j'étais d'accord avec ce
principe, je n'énonce qu'un fait : la plupart des gens font confiances
aux choses qu'ils payent parce qu'il y a échange de valeur donc de
richesse. David prévot dans une réponse précédente dissociait
confiance et économie.
C'est peut être vrai pour nous dans le monde du libre que l'on
souhaite le plus gratuit et performant possible mais c'est très loin
d'être le cas dans la tête des consommateurs. Il faut bien se rendre
compte que l'on est tout les jours abreuvé d'un concept simple :
produit = prix.

Dans notre cas, nous vivons dans une monde sans limite physique donc
nous abolissons cette idée primitive. Maintenant va dire à une
entreprise : "choisissez entre ce certificat payant et ce certificat
gratuit" ... je parie que l'entreprise choisira le payant. Juste parce
qu'ils ont l'impression qu'une autorité tierce ayant pignon sur rue
(si on peut dire) est proche du statut de notaire... de la même
manière : pourquoi fait on confiance à un notaire ? parce qu'il a un
diplôme sur le mur ? Qui a déjà pensé a vérifier l'égibilité d'un
notaire ?

:)

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
1 2 3 4