Pour des raisons de sécurité(*), je desire supprimer l'acces aux sites
HTTPS sauf site reconnus d'utilité travaillesque. Cependant pour ne pas
tout couper brutalement, j'envisage la mise en place d'un proxy qui
réaliserait le décodage HTTPs en s'interposant en client HTTPs.
eventuellement, l'idéal serait qu'il re-chiffre la transaction
proxy=>cliet avec son propre certificat ou avec un certificat "bidon"
crée à la volée avec une CA locale qui pourrait etre deployée sur les
postes clients.
Cela existe t'il deja ? En particulier sur du squid ?
Le Mon, 06 Jun 2005 21:30:40 +0000, Alain Montfranc a écrit :
L'idée était de recréer un certificat présentant les mêmes caractéristiques que celui du site original, mais avec une CA différente -locale)
CA différente de quoi ? Tu vas te créer une CA locale rien que pour qu'elle ne soit pas reconnue ?! La page web a l'intérêt de présenter l'erreur à l'utilisateur.
pourquoi ? Une CA n'ayant pas payé Microsoft peut tout de même être justifiée (exemple : sites de test, page de back office, etc...)
Bien sûr, mais tu dois fournir les éléments à l'utilisateur pour faire son choix, et pas un CA pipo générique en cas d'erreur... Si toutes les erreurs entraînent la fourniture d'un signature bidon avec un certificat générique, comment on va pouvoir regarder d'où vient le certificat original ? Et si on se place dans le cas de figure que tu as exposé, la CA présentée par le site web devrait être connue de ton proxy, puisque tu ne veux laisser passer que des sites connus. Non ? :)
--
Utilise eshell ! :) Et accroche-toi au pinceau, j'enlève la RAM ...
-+- EL in GFA : "C'est l'histoire d'un emacsien fou..." -+-
Le Mon, 06 Jun 2005 21:30:40 +0000, Alain Montfranc a écrit :
L'idée était de recréer un certificat présentant les mêmes
caractéristiques que celui du site original, mais avec une CA
différente -locale)
CA différente de quoi ? Tu vas te créer une CA locale rien que pour
qu'elle ne soit pas reconnue ?!
La page web a l'intérêt de présenter l'erreur à l'utilisateur.
pourquoi ? Une CA n'ayant pas payé Microsoft peut tout de même être
justifiée (exemple : sites de test, page de back office, etc...)
Bien sûr, mais tu dois fournir les éléments à l'utilisateur pour faire
son choix, et pas un CA pipo générique en cas d'erreur... Si toutes les
erreurs entraînent la fourniture d'un signature bidon avec un certificat
générique, comment on va pouvoir regarder d'où vient le certificat
original ?
Et si on se place dans le cas de figure que tu as exposé, la CA
présentée par le site web devrait être connue de ton proxy, puisque tu
ne veux laisser passer que des sites connus. Non ? :)
--
Utilise eshell ! :)
Et accroche-toi au pinceau, j'enlève la RAM ...
-+- EL in GFA : "C'est l'histoire d'un emacsien fou..." -+-
Le Mon, 06 Jun 2005 21:30:40 +0000, Alain Montfranc a écrit :
L'idée était de recréer un certificat présentant les mêmes caractéristiques que celui du site original, mais avec une CA différente -locale)
CA différente de quoi ? Tu vas te créer une CA locale rien que pour qu'elle ne soit pas reconnue ?! La page web a l'intérêt de présenter l'erreur à l'utilisateur.
pourquoi ? Une CA n'ayant pas payé Microsoft peut tout de même être justifiée (exemple : sites de test, page de back office, etc...)
Bien sûr, mais tu dois fournir les éléments à l'utilisateur pour faire son choix, et pas un CA pipo générique en cas d'erreur... Si toutes les erreurs entraînent la fourniture d'un signature bidon avec un certificat générique, comment on va pouvoir regarder d'où vient le certificat original ? Et si on se place dans le cas de figure que tu as exposé, la CA présentée par le site web devrait être connue de ton proxy, puisque tu ne veux laisser passer que des sites connus. Non ? :)
--
Utilise eshell ! :) Et accroche-toi au pinceau, j'enlève la RAM ...
-+- EL in GFA : "C'est l'histoire d'un emacsien fou..." -+-
