Forum Programmation.web Accès en HTTPS : Sécuriser un serveur web.

Posté par FueL le 24 août 2007 à 14:36.

Étiquettes : aucune

août

2007

Bonjour

Est il possible avec l'un des nombreux protocole de cryptage de créer un accès en httpS, sur un serveur Apache sans pour autant passer par un certificat auprès d'un organisme ?

Existe-t-il uen méthode pour créer un accès crypter de manière autonome ?

Merci d'avance pour vos réponses.

E.

# Certificat autosigné

Posté par P.-A. le 24 août 2007 à 15:18. Évalué à 4.

Tu peux utiliser un certificat autosigné.

Tu paies un certificat que lorsque tu désires que l'autorité de certification du serveur soit reconnu par ton navigateur (ou autre) par défaut.
# Certificat autosigné

Posté par jimee (site web personnel) le 24 août 2007 à 15:27. Évalué à 4.

Il suffit juste de créer un certificat autosigné.
Tu as des exemples de génération de certificat avec openssl dans "man req" :

Generate a self signed root certificate:
openssl req -x509 -newkey rsa:1024 -keyout key.pem -out cert.pem

Par contre, l'inconvénient, c'est que tes visiteurs auront un message d'avertissement, expliquant que le certificat n'est pas signé par une autorité reconnue...
- [^] # Re: Certificat autosigné
  
  Posté par Uld (site web personnel) le 24 août 2007 à 16:36. Évalué à 0.
  
  Sauf que les autosigné capuducul.
  
  J'utilise un certificat autosigné et mes services en https (webmail, webmin etc) ne passent pas le proxy filtrant du boulot.
  
  "Échec de la verification du certification serveur
  self signed certificate"
  
  Merci Webwasher.
  - [^] # Re: Certificat autosigné
    
    Posté par Gniarf le 24 août 2007 à 17:03. Évalué à 2.
    
    bosse au lieu de glander
- [^] # Re: Certificat autosigné
  
  Posté par FueL le 25 août 2007 à 10:32. Évalué à 1.
  
  merci pour cette réponse et en termes de sécurité du chiffrage c'est comprable aux autres certificats ?
  
  Est ce qu'il y'a un protocole de chiffrement plus indiqué ?
  Dans ta commande c'est du RSA, pourquoi pas de l'AES ? C'est à la discrétion de l'admin je suppose ?
  - [^] # Re: Certificat autosigné
    
    Posté par Batchyx le 25 août 2007 à 11:38. Évalué à 2.
    
    le chiffrement symétrique utilisé pour chiffrer les flux de données est négocié lors des deux premiers challenges de la connexion SSL. il ne dépend absolument pas du certificat.
    
    dans cet exemple RSA c'est le chiffrement asymétrique utilisé pour signer le certificat et pour échanger la clef symétrique. c'est un ''bon choix'' et si t'est parano tu peux augmenter la taille de la clef.
    
    le seul problème de sécurité avec les certificats autosignés c'est que si un pirate réussi à détourner un utilisateur de ton site ou à phisher, il peut créer un autre certificat autosigné avec le même nom et l'utilisateur ne risque pas de voir la différence.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.