je voulais savoir si je choisit un serveur genre apache mais surtout en
mod_ssl est ce que je dois acheter un certificat SSL ou alors il est
fournit avec ??
merci pour vos reponse
--
El NiKo (--: /\/ :--)
EnleveRnickleeSpaM@free.fr
supprimer "EnleveR" et " SpaM" pour répondre dans ma BAL
Si tu veux simplement crypter les communications, un certificat auto-signé est largement suffisant.
oui c'est pour assurer au client que ce qu'il vient consulter dans son espace reservé est bien protégé et lu par personne d'autre que lui...
je pense que ca devrait suffire...
-- El NiKo (--: // :--)
supprimer "EnleveR" et " SpaM" pour répondre dans ma BAL
Patrick
par contre est ce vraiment protégé avec ce certificat...
Pour un ordinateur, au final, un certificat c'est une paire de clefs qui va être utilisé pour crypter/décrypter. Que la clef ait été générée par X ou Y, qu'elle soit arrivée par le canal Z ou T, qu'elle soit elle-même signée par B ou C, ca ne change rien, les algorithmes mathématiques s'en fichent bien.
si oui a quoi sert un certificat 128 bits a 1000 euros ??
Il y a simplement une assurence en plus qui couvre les risques a hauteur de xxx euros...
Il n'y a pas automatiquement d'assurance incluse. D'autre part, il n'est pas évident qu'il soit possible de faire aisément jouer l'assurance en question.
Comme pour les noms de domaine, on trouve de tout en prix. La limite basse semble être autour de 50$/an.
Patrick.
par contre est ce vraiment protégé avec ce certificat...
Pour un ordinateur, au final, un certificat c'est une paire de clefs qui
va être utilisé pour crypter/décrypter. Que la clef ait été générée par X
ou Y, qu'elle soit arrivée par le canal Z ou T, qu'elle soit elle-même
signée par B ou C, ca ne change rien, les algorithmes mathématiques s'en
fichent bien.
si oui a quoi sert un certificat 128 bits a 1000 euros ??
Il y a simplement une assurence en plus qui couvre les risques a hauteur
de xxx euros...
Il n'y a pas automatiquement d'assurance incluse. D'autre part, il n'est
pas évident qu'il soit possible de faire aisément jouer l'assurance en
question.
Comme pour les noms de domaine, on trouve de tout en prix.
La limite basse semble être autour de 50$/an.
par contre est ce vraiment protégé avec ce certificat...
Pour un ordinateur, au final, un certificat c'est une paire de clefs qui va être utilisé pour crypter/décrypter. Que la clef ait été générée par X ou Y, qu'elle soit arrivée par le canal Z ou T, qu'elle soit elle-même signée par B ou C, ca ne change rien, les algorithmes mathématiques s'en fichent bien.
si oui a quoi sert un certificat 128 bits a 1000 euros ??
Il y a simplement une assurence en plus qui couvre les risques a hauteur de xxx euros...
Il n'y a pas automatiquement d'assurance incluse. D'autre part, il n'est pas évident qu'il soit possible de faire aisément jouer l'assurance en question.
Comme pour les noms de domaine, on trouve de tout en prix. La limite basse semble être autour de 50$/an.
Patrick.
Patrick
Tu peux generer un certificat auto signé pour ton site mais les gens qui arriveront sur ton site auront un message de sécurité qui va dire que le certificat ne vient pas d'une autorité de confiance cela ne veux pas dire que les données ne sont pas crypté correctement mais simplement que ton certificat n'est pas officielement reconnu par un organisme agrée...
Agréé par qui ?
Non, les ``autorités de certification'' présentes dans les navigateurs par défaut sont des sociétés ``quelconques'' qui ont juste suivi la procédure auprès du constructeur du navigateur X pour être incluse dedans. Chaque constructeur fait ce qu'il veut, demande de l'argent ou pas, etc...
Mais il n'y a pas d'organisme international qui agréé les autorités de certification, et en particulier celles présentes par défaut dans les navigateurs.
Faites y un tour dans cette partie de votre navigateur d'ailleurs, c'est très instructif. On trouve plein de noms inconnus, de sociétés qui n'ont probablement jamais fournis de certificats en pratique, ou qui sont déjà mortes.
Patrick.
Tu peux generer un certificat auto signé pour ton site mais les gens qui
arriveront sur ton site auront un message de sécurité qui va dire que le
certificat ne vient pas d'une autorité de confiance cela ne veux pas
dire que les données ne sont pas crypté correctement mais simplement que
ton certificat n'est pas officielement reconnu par un organisme agrée...
Agréé par qui ?
Non, les ``autorités de certification'' présentes dans les navigateurs
par défaut sont des sociétés ``quelconques'' qui ont juste suivi la
procédure auprès du constructeur du navigateur X pour être incluse
dedans.
Chaque constructeur fait ce qu'il veut, demande de l'argent ou pas,
etc...
Mais il n'y a pas d'organisme international qui agréé les autorités de
certification, et en particulier celles présentes par défaut dans les
navigateurs.
Faites y un tour dans cette partie de votre navigateur d'ailleurs, c'est
très instructif. On trouve plein de noms inconnus, de sociétés qui n'ont
probablement jamais fournis de certificats en pratique, ou qui sont déjà
mortes.
Tu peux generer un certificat auto signé pour ton site mais les gens qui arriveront sur ton site auront un message de sécurité qui va dire que le certificat ne vient pas d'une autorité de confiance cela ne veux pas dire que les données ne sont pas crypté correctement mais simplement que ton certificat n'est pas officielement reconnu par un organisme agrée...
Agréé par qui ?
Non, les ``autorités de certification'' présentes dans les navigateurs par défaut sont des sociétés ``quelconques'' qui ont juste suivi la procédure auprès du constructeur du navigateur X pour être incluse dedans. Chaque constructeur fait ce qu'il veut, demande de l'argent ou pas, etc...
Mais il n'y a pas d'organisme international qui agréé les autorités de certification, et en particulier celles présentes par défaut dans les navigateurs.
Faites y un tour dans cette partie de votre navigateur d'ailleurs, c'est très instructif. On trouve plein de noms inconnus, de sociétés qui n'ont probablement jamais fournis de certificats en pratique, ou qui sont déjà mortes.
Patrick.
Patrick
Si tu veux simplement crypter les communications, un certificat auto-signé est largement suffisant.
Avec un certificat officiel, tes utilisateurs auront en plus l'assurance que le site auquel ils se connectent est le bon.
Bof, pas nécessairement.
Tout dépend de la politique de déliverance de l'autorité de certification, elle en est seule maitresse, et elle peut faire n'importe quoi, par design (dis autrement: le degré de vérification peut être plus ou moins élevé), ou par erreur (style: délivrer un certificat estampillé Microsoft à quelqu'un d'autre, au hasard...)
Pour que l'utilisateur se fasse un avis, il faudrait: - qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu complet), et celui de l'autorité de certification (idem) - qu'il ne connaisse pas la politique de certification de l'autorité en question (à vérifier sur son site) - qu'il ne peut pas vérifier en temps réel que le certificat est encore valide, et notamment qu'il n'a pas été révoqué.
Ces 3 conditions sont rarement réunis, et surtout tout le monde s'en moque bien.
Patrick.
Si tu veux simplement crypter les communications, un certificat
auto-signé est largement suffisant.
Avec un certificat officiel, tes utilisateurs auront en plus l'assurance
que le site auquel ils se connectent est le bon.
Bof, pas nécessairement.
Tout dépend de la politique de déliverance de l'autorité de
certification, elle en est seule maitresse, et elle peut faire n'importe
quoi, par design (dis autrement: le degré de vérification peut être plus
ou moins élevé), ou par erreur (style: délivrer un certificat estampillé
Microsoft à quelqu'un d'autre, au hasard...)
Pour que l'utilisateur se fasse un avis, il faudrait:
- qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu
complet), et celui de l'autorité de certification (idem)
- qu'il ne connaisse pas la politique de certification de l'autorité en
question (à vérifier sur son site)
- qu'il ne peut pas vérifier en temps réel que le certificat est encore
valide, et notamment qu'il n'a pas été révoqué.
Ces 3 conditions sont rarement réunis, et surtout tout le monde s'en
moque bien.
Si tu veux simplement crypter les communications, un certificat auto-signé est largement suffisant.
Avec un certificat officiel, tes utilisateurs auront en plus l'assurance que le site auquel ils se connectent est le bon.
Bof, pas nécessairement.
Tout dépend de la politique de déliverance de l'autorité de certification, elle en est seule maitresse, et elle peut faire n'importe quoi, par design (dis autrement: le degré de vérification peut être plus ou moins élevé), ou par erreur (style: délivrer un certificat estampillé Microsoft à quelqu'un d'autre, au hasard...)
Pour que l'utilisateur se fasse un avis, il faudrait: - qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu complet), et celui de l'autorité de certification (idem) - qu'il ne connaisse pas la politique de certification de l'autorité en question (à vérifier sur son site) - qu'il ne peut pas vérifier en temps réel que le certificat est encore valide, et notamment qu'il n'a pas été révoqué.
Ces 3 conditions sont rarement réunis, et surtout tout le monde s'en moque bien.
Patrick.
Patrick
Pour que l'utilisateur se fasse un avis, il faudrait: - qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu complet), et celui de l'autorité de certification (idem) - qu'il ne connaisse pas la politique de certification de l'autorité en question (à vérifier sur son site) - qu'il ne peut pas vérifier en temps réel que le certificat est encore valide, et notamment qu'il n'a pas été révoqué.
Je me suis laissé emporter dans ma négation: il va de soit qu'il fallait lire pour les deux derniers points la version affirmative de la phrase, et pas la version négative que j'ai écrite par erreur.
Patrick.
Pour que l'utilisateur se fasse un avis, il faudrait:
- qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu complet), et
celui de l'autorité de certification (idem)
- qu'il ne connaisse pas la politique de certification de l'autorité en question (à vérifier sur son
site)
- qu'il ne peut pas vérifier en temps réel que le certificat est encore
valide, et notamment qu'il n'a pas été révoqué.
Je me suis laissé emporter dans ma négation:
il va de soit qu'il fallait lire pour les deux derniers points la version
affirmative de la phrase, et pas la version négative que j'ai écrite par
erreur.
Pour que l'utilisateur se fasse un avis, il faudrait: - qu'il ne se passe rien tant qu'il ne voit pas le certificat (contenu complet), et celui de l'autorité de certification (idem) - qu'il ne connaisse pas la politique de certification de l'autorité en question (à vérifier sur son site) - qu'il ne peut pas vérifier en temps réel que le certificat est encore valide, et notamment qu'il n'a pas été révoqué.
Je me suis laissé emporter dans ma négation: il va de soit qu'il fallait lire pour les deux derniers points la version affirmative de la phrase, et pas la version négative que j'ai écrite par erreur.
Patrick.
Hfrance
Bonjour ,
"El NiKo" a écrit dans le message news:
François Manchon avait énoncé :
Tout dépend de ce que tu veux protéger.
Si tu veux simplement crypter les communications, un certificat auto-signé
est largement suffisant.
oui c'est pour assurer au client que ce qu'il vient consulter dans son espace reservé est bien protégé et lu par personne d'autre que lui...
--- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.560 / Virus Database: 352 - Release Date: 08/01/2004
Patrick
Tout dépend de ce que tu veux protéger.
Si tu veux simplement crypter les communications, un certificat auto-signé est largement suffisant.
oui c'est pour assurer au client que ce qu'il vient consulter dans son espace reservé est bien protégé et lu par personne d'autre que lui...
je pense que ca devrait suffire...
Non. Il suffit d'une erreur de configuration du serveur web et/ou de l'application qui génère les pages (si pages dynamiques) pour que le même contenu soit accessible autrement. Ou même d'un système de gestion de sessions (vous semblez sous-entendre une authentification) bancal ou vulnérable.
HTTPS assure juste que, *durant la transmission*, le contenu ne puisse être intercepté (c'est le cas avec une clef de taille décente, dans les 128 bits quoi selon les standards actuels). Cependant ledit contenu existe à plein d'endroits (serveur, caches, etc...) et peut être donc récupéré, en toute généralité, autrement.
Bref, ``avoir un serveur web/une application sécurisé'' et ``utiliser une connexion HTTPS avec un certificat SSL'' sont deux choses bien distinctes.
La première est loin d'être triviale, alors que la seconde est simple.
Patrick.
Tout dépend de ce que tu veux protéger.
Si tu veux simplement crypter les communications, un certificat
auto-signé est largement suffisant.
oui c'est pour assurer au client que ce qu'il vient consulter dans son
espace reservé est bien protégé et lu par personne d'autre que lui...
je pense que ca devrait suffire...
Non. Il suffit d'une erreur de configuration du serveur web et/ou de
l'application qui génère les pages (si pages dynamiques) pour que le même
contenu soit accessible autrement. Ou même d'un système de gestion de
sessions (vous semblez sous-entendre une authentification) bancal ou
vulnérable.
HTTPS assure juste que, *durant la transmission*, le contenu ne puisse
être intercepté (c'est le cas avec une clef de taille décente, dans les
128 bits quoi selon les standards actuels). Cependant ledit contenu
existe à plein d'endroits (serveur, caches, etc...) et peut être donc
récupéré, en toute généralité, autrement.
Bref, ``avoir un serveur web/une application sécurisé''
et ``utiliser une connexion HTTPS avec un certificat SSL''
sont deux choses bien distinctes.
La première est loin d'être triviale, alors que la seconde est simple.
Si tu veux simplement crypter les communications, un certificat auto-signé est largement suffisant.
oui c'est pour assurer au client que ce qu'il vient consulter dans son espace reservé est bien protégé et lu par personne d'autre que lui...
je pense que ca devrait suffire...
Non. Il suffit d'une erreur de configuration du serveur web et/ou de l'application qui génère les pages (si pages dynamiques) pour que le même contenu soit accessible autrement. Ou même d'un système de gestion de sessions (vous semblez sous-entendre une authentification) bancal ou vulnérable.
HTTPS assure juste que, *durant la transmission*, le contenu ne puisse être intercepté (c'est le cas avec une clef de taille décente, dans les 128 bits quoi selon les standards actuels). Cependant ledit contenu existe à plein d'endroits (serveur, caches, etc...) et peut être donc récupéré, en toute généralité, autrement.
Bref, ``avoir un serveur web/une application sécurisé'' et ``utiliser une connexion HTTPS avec un certificat SSL'' sont deux choses bien distinctes.
La première est loin d'être triviale, alors que la seconde est simple.
Patrick.
El NiKo
Patrick avait écrit le 28/01/2004 :
HTTPS assure juste que, durant la transmission, le contenu ne puisse être intercepté (c'est le cas avec une clef de taille décente, dans les
oui merci c'est exactement ce que je recherchais...
quand a la securisation du server ainsi que l'optimisation du code pour eviter les failles, ben j'y travaille aussi...
par contre pour l'instant je fais des test sur une machine chez moi en local, mais qd je vais chercher un hebergeur (server dedié) , pourra t'il me procurer un certificat ou est ce a moi de tout faire... a distance
merci
-- El NiKo (--: // :--)
supprimer "EnleveR" et " SpaM" pour répondre dans ma BAL
Patrick avait écrit le 28/01/2004 :
HTTPS assure juste que, durant la transmission, le contenu ne puisse
être intercepté (c'est le cas avec une clef de taille décente, dans les
oui merci c'est exactement ce que je recherchais...
quand a la securisation du server ainsi que l'optimisation du code pour
eviter les failles, ben j'y travaille aussi...
par contre pour l'instant je fais des test sur une machine chez moi en
local, mais qd je vais chercher un hebergeur (server dedié) , pourra
t'il me procurer un certificat ou est ce a moi de tout faire... a
distance
merci
--
El NiKo (--: // :--)
EnleveRnickleeSpaM@free.fr
supprimer "EnleveR" et " SpaM" pour répondre dans ma BAL
HTTPS assure juste que, durant la transmission, le contenu ne puisse être intercepté (c'est le cas avec une clef de taille décente, dans les
oui merci c'est exactement ce que je recherchais...
quand a la securisation du server ainsi que l'optimisation du code pour eviter les failles, ben j'y travaille aussi...
par contre pour l'instant je fais des test sur une machine chez moi en local, mais qd je vais chercher un hebergeur (server dedié) , pourra t'il me procurer un certificat ou est ce a moi de tout faire... a distance
merci
-- El NiKo (--: // :--)
supprimer "EnleveR" et " SpaM" pour répondre dans ma BAL
