Je loue une dedibox pour laquelle j'avais acheté un nom de domaine qui
aujourd'hui ne m'appartient plus.
J'ai maintenant en ma possession un autre nom de domaine et j'ai changé
le nom d'hôte de la machine pour refléter ce changement et tout roule
nickel. La machine a bien son nouveau nom pris en compte, bind9
fonctionne parfaitement, tout est propagé, impecc' \o/ ).
Cependant il me reste à remplacer les certificats afin qu'ils
correspondent également à ce nouveau nom de domaine mais avant de faire
une bêtise et de me retrouver dans une impasse inextricable j'aimerai
être sûr de ne rien oublier mais également de faire les choses dans
le bon ordre.
Pour tout dire mes connaissances en la matière sont très maigres et le
but est de reconfigurer totalement le serveur (Debian Wheezy) pour qu'il
héberge (au moins) les services suivants :
- sshd (authentification par clefs RSA)
- openvpn (c'est là que le remplacement de certificat me fait un
peu peur)
- Nginx (avec support ssl)
- postfix / dovecot / rouncube (Sasl / mysql)
- Spamassassin / Clamav / Greylist
- Apache2 (mais je ne sais pas encore dans quelle mesure cela va entrer
en conflit avec Nginx, s'il faut s'en passer ce n'est pas un problème)
Pour l'installation de toute cette salade, je projette de suivre le
tutoriel suivant (mais sans passer par un dépôt alternatif comme
mentionné et dont je ne vois pas l'intérêt) :
http://www.xenlens.com/debian-wheezy-mail-server-postfix-dovecot-sasl-mysql-postfixadmin-roundcube-spamassassin-clamav-greylist-nginx-php5/
Je ne serai pas étonné qu'il existe une commande Debian toute faite
pour ça mais je ne l'ai pas trouvée.
Par contre j'ai trouvé ça :
http://howto.biapy.com/fr/debian-gnu-linux/serveurs/http/creer-un-certificat-ssl-sur-debian
mais ça ne parle pas de _remplacement_ des certificats existants
notamment ceux créés lors de la phase de post-installation du système
dont je ne suis pas sûr qu'il faille les remplacer.
Pour info j'accède à cette machine exclusivement par openvpn (Si
nécessaire, je peux la configurer pour temporairement accepter les connexions SSH hors
VPN).
Merci de vos éclairages qui m'éviteront à coups sûrs des ennuis et une
réinstallation complète de la bête et démêleront tout la confusion qui
règne dans ma tête sur ces sujet..
--
Alors je me mets à rêver
Que je suis un slip de carmélite
Que personne ne peut me toucher
Sans se noyer dans l'eau bénite
-- H.F. Thiéfaine, La queue
Je ne connais rien au process de la signature d'un certificat payant, ,genre verisign, mais à part le chèque quelle est la vraie différence avec l'espèce de fausse SARL étrangère qui refile du certificat en veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats acceptés par défaut par les navigateurs.
Doug713705 , dans le message <vqnsqaxtsi.ln2@actarus.bourzy.lan>, a
écrit :
Je ne connais rien au process de la signature d'un certificat payant,
,genre verisign, mais à part le chèque quelle est la vraie différence
avec l'espèce de fausse SARL étrangère qui refile du certificat en
veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats
acceptés par défaut par les navigateurs.
Je ne connais rien au process de la signature d'un certificat payant, ,genre verisign, mais à part le chèque quelle est la vraie différence avec l'espèce de fausse SARL étrangère qui refile du certificat en veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats acceptés par défaut par les navigateurs.
laurent
Erwan David wrote:
Doug713705 écrivait :
Cependant, l'idée d'une autorité reconnue qui fourni gratuitement un certificat est bonne.
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification "Basic", SSL est utile et on a rien à faire que le certificat soit signé ou pas par une autorité reconnue. Je n'utilise les certificats startssl que pour chiffrer la communication entre le client et le serveur, en aucun cas pour rassurer le client sur l'identité du serveur avec lequel on communique. Le problème de https tel qu'il est conçu actuellement est qu'ils mélangent authentification et chiffrage.
Il faut passer à DANE.
connais pas.
Erwan David wrote:
Doug713705<doug.letough@free.fr> écrivait :
Cependant, l'idée d'une autorité reconnue qui fourni gratuitement un
certificat est bonne.
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi
est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification
"Basic", SSL est utile et on a rien à faire que le certificat soit signé
ou pas par une autorité reconnue.
Je n'utilise les certificats startssl que pour chiffrer la communication
entre le client et le serveur, en aucun cas pour rassurer le client sur
l'identité du serveur avec lequel on communique.
Le problème de https tel qu'il est conçu actuellement est qu'ils
mélangent authentification et chiffrage.
Cependant, l'idée d'une autorité reconnue qui fourni gratuitement un certificat est bonne.
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification "Basic", SSL est utile et on a rien à faire que le certificat soit signé ou pas par une autorité reconnue. Je n'utilise les certificats startssl que pour chiffrer la communication entre le client et le serveur, en aucun cas pour rassurer le client sur l'identité du serveur avec lequel on communique. Le problème de https tel qu'il est conçu actuellement est qu'ils mélangent authentification et chiffrage.
Il faut passer à DANE.
connais pas.
Pascal Hambourg
laurent a écrit :
Erwan David wrote:
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification "Basic", SSL est utile et on a rien à faire que le certificat soit signé ou pas par une autorité reconnue.
Cela ne te gêne pas d'envoyer ton mot de passe à n'importe qui ?
Je n'utilise les certificats startssl que pour chiffrer la communication entre le client et le serveur, en aucun cas pour rassurer le client sur l'identité du serveur avec lequel on communique. Le problème de https tel qu'il est conçu actuellement est qu'ils mélangent authentification et chiffrage.
Les deux sont indissociables. A quoi bon chiffrer si on n'est pas sûr de communiquer avec la bonne machine ?
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi
est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification
"Basic", SSL est utile et on a rien à faire que le certificat soit signé
ou pas par une autorité reconnue.
Cela ne te gêne pas d'envoyer ton mot de passe à n'importe qui ?
Je n'utilise les certificats startssl que pour chiffrer la communication
entre le client et le serveur, en aucun cas pour rassurer le client sur
l'identité du serveur avec lequel on communique.
Le problème de https tel qu'il est conçu actuellement est qu'ils
mélangent authentification et chiffrage.
Les deux sont indissociables. A quoi bon chiffrer si on n'est pas sûr de
communiquer avec la bonne machine ?
L'idée d'une "autorité reconnue" qui peut signer tout et n'importe quoi est la faille majeure de SSL.
Ça dépends pourquoi on utilise SSL. Sur une page d'authentification "Basic", SSL est utile et on a rien à faire que le certificat soit signé ou pas par une autorité reconnue.
Cela ne te gêne pas d'envoyer ton mot de passe à n'importe qui ?
Je n'utilise les certificats startssl que pour chiffrer la communication entre le client et le serveur, en aucun cas pour rassurer le client sur l'identité du serveur avec lequel on communique. Le problème de https tel qu'il est conçu actuellement est qu'ils mélangent authentification et chiffrage.
Les deux sont indissociables. A quoi bon chiffrer si on n'est pas sûr de communiquer avec la bonne machine ?
Le 19-01-2014, Nicolas George nous expliquait dans fr.comp.os.linux.configuration (<52dbc68d$0$2068$) :
Doug713705 , dans le message , a écrit :
Je ne connais rien au process de la signature d'un certificat payant, ,genre verisign, mais à part le chèque quelle est la vraie différence avec l'espèce de fausse SARL étrangère qui refile du certificat en veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats acceptés par défaut par les navigateurs.
J'avais cru comprendre que c'était également le cas de toutes les autorités "reconnue" dont cette SARL en carton.
-- En ce temps-là, le rien s'appelait quotidien Et nous allions pointer dans les jobs interdits. Dans les musiques blêmes, dans les sombres parfums Dans les dédales obscurs où plane la folie. -- H.F. Thiéfaine, Exil Sur planète fantôme
Le 19-01-2014, Nicolas George nous expliquait dans
fr.comp.os.linux.configuration
(<52dbc68d$0$2068$426a74cc@news.free.fr>) :
Doug713705 , dans le message <vqnsqaxtsi.ln2@actarus.bourzy.lan>, a
écrit :
Je ne connais rien au process de la signature d'un certificat payant,
,genre verisign, mais à part le chèque quelle est la vraie différence
avec l'espèce de fausse SARL étrangère qui refile du certificat en
veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats
acceptés par défaut par les navigateurs.
J'avais cru comprendre que c'était également le cas de toutes les
autorités "reconnue" dont cette SARL en carton.
--
En ce temps-là, le rien s'appelait quotidien
Et nous allions pointer dans les jobs interdits.
Dans les musiques blêmes, dans les sombres parfums
Dans les dédales obscurs où plane la folie.
-- H.F. Thiéfaine, Exil Sur planète fantôme
Le 19-01-2014, Nicolas George nous expliquait dans fr.comp.os.linux.configuration (<52dbc68d$0$2068$) :
Doug713705 , dans le message , a écrit :
Je ne connais rien au process de la signature d'un certificat payant, ,genre verisign, mais à part le chèque quelle est la vraie différence avec l'espèce de fausse SARL étrangère qui refile du certificat en veux-tu en voilà ?
Que le certificat de verisign eux-mêmes est dans la liste des certificats acceptés par défaut par les navigateurs.
J'avais cru comprendre que c'était également le cas de toutes les autorités "reconnue" dont cette SARL en carton.
-- En ce temps-là, le rien s'appelait quotidien Et nous allions pointer dans les jobs interdits. Dans les musiques blêmes, dans les sombres parfums Dans les dédales obscurs où plane la folie. -- H.F. Thiéfaine, Exil Sur planète fantôme
laurent
Pascal Hambourg wrote:
(snip)
Cela ne te gêne pas d'envoyer ton mot de passe à n'importe qui ?
si.
Les deux sont indissociables. A quoi bon chiffrer si on n'est pas sûr de communiquer avec la bonne machine ?
sauf que le système de certification tel qu'il est conçu actuellement n'est pas fiable.
