Pour les gens qui comme moi vivent dans un environnement hostile où le proxy fait du MITM https, il serait bien d'ajouter la possibilité pour le client de fournir un certificat SSL (a priori avec l'option optional).
Pour faire simple et quitte à prendre quelques raccourcis, on peut se contenter de générer à la demande une clé privée pour l'utilisateur sur le serveur, la signer avec une Certification Authority linuxfr.org, envoyer tout ça sous forme d'un fichier p12 envoyé à l'adresse mail du client et fournir le mot de passe de la clé dans le tableau de bord. Une option activable dans le tableau de bord permettrait de se rendre compte visuellement sur le site si on visite le site en ayant fourni un client certificate valide. Le client certificate peut même remplacer l'authentification de l'utilisateur dans ce cas.
Faute d'avoir la clé privée le proxy https ne peut pas s'authentifier et est donc contraint soit de ne pas envoyer de certificat client (ce qui se voit si on a activé l'option), soit de laisser passer la connexion avec le certificat dedans sans pouvoir l'intercepter.
# Humm...
Posté par Bruno Michel (site web personnel) . Évalué à 4 (+0/-0).
C'est un besoin très spécifique et assez compliqué à mettre en place. Ça ne sera mis en place que si un contributeur externe est prêt à faire le gros du travail.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.