Bonjour,
Je dois renouveler des certificats ssl pour un ensemble de serveur d'un client. Ces certificats permettent d'authentifier des serveurs accessibles sur internet.
Nous avons envoyé les CSR au client qui a fait créer les certificats et nous les a transmis
On a reçu des .PEM contenant le certificat du serveur, celui de l’autorité intermédiaire et celui de l'autorité racine.
Il m'est demandé de retirer le certificat de l'autorité racine avant de transformer le certificat en pkcs12
La raison invoquée est qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine.
Personne ne peut m'en dire plus.
Je me pose les questions suivantes :
Si la ROOT CA est intégrée dans le .pem par l'autorité de certification elle même pourquoi la retirer ?
Si c'est risqué de la laisser, pourquoi l'émetteur du certificat l'inclus ?
Si un attaquant récupérait l'autorité de certification racine, qui pourrait il compromettre ? Seulement le serveur concerné ? L'ensemble des serveurs concernés ? Comment ferait il ?
Je suis preneur de toute documentation, site, livre, colloque permettant d'enrichir mes connaissance en certificats :-)
# Rien compris à leur délire
Posté par Cyril Brulebois (site web personnel) . Évalué à 5. Dernière modification le 23 mai 2019 à 22:28.
Je vote bullshit complet.
En général on essaie de mettre une chaîne de certificats afin de faciliter les vérifications. Si une racine A signe un certificat intermédiaire B qui signe le certificat final www.example.org, c'est plus sympa d'inclure a minima le certificat B et le certificat final pour que les clients n'aient besoin que de connaître la racine A. Avoir le certificat B (la partie publique) ne met en danger ni B ni A… Et quand on est parti là-dedans, autant avoir A, B, et le certificat final (dans le bon ordre, suivant les applicatifs).
Et le jour où le certificat B est remplacé par B', ou B'', etc., les clients n'ont pas besoin de mise à jour, il suffit de continuer à faire confiance à A…
Debian Consultant @ DEBAMAX
[^] # Re: Rien compris à leur délire
Posté par Julien_J06 . Évalué à 1.
Bonjour Cyril,
Merci pour la réponse :-)
J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).
Julien_c'est_bien (y'a pas que Seb)
# Ils racontent n'importe quoi
Posté par Bernez . Évalué à 1.
Les certificats des autorités racines sont une information publique disponible dans la quasi totalité des navigateurs du monde. C'est à la base même du fonctionnement des certificats. Prétendre qu'il faut les cacher n'a aucun sens.
Le fait que ça ne soit pas évident pour toi montre qu'il te reste beaucoup à apprendre sur les certificats. Pour une introduction à ce sujet, tu peux lire la page de la doc d'Apache (il y a bien sûr des tas d'autres sources d'information).
[^] # Re: Ils racontent n'importe quoi
Posté par Julien_J06 . Évalué à 1.
Bonjour Bernez,
Merci pour la réponse :-)
J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).
Ça me paraissait logique et cohérent mais celui qui avait laissé cette consigne (mais a évolué dans une autre société) est quelqu'un de très calé techniquement; je ne me suis pas résolu à suivre cette consigne car je ne comprenais pas le but.
Merci pour le lien, je vais aller y jeter un œil :-)
Julien_c'est_bien (y'a pas que Seb)
# Certificat racine inutile mais pas gênant
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4. Dernière modification le 24 mai 2019 à 10:48.
Lorsqu'on installe un certificat sur un serveur, il est nécessaire d'installer également toute la chaîne de certificats intermédiaires jusqu'à la racine. Le certificat racine, en revanche, n'a pas besoin d'être installé, mais si on le fait, c'est inutile mais pas gênant.
Voici la raison. Lorsqu'un client se connecte sur le serveur, celui-ci va lui envoyer son certificat et la chaîne de certification. Le client va ainsi pouvoir vérifier que le certificat du serveur est bien signé par un certificat, qui est signé par un autre certificat, et ainsi de suite avec un nombre quelconque de niveaux, jusqu'à finalement tomber sur un certificat qui a été signé par le certificat racine d'une autorité de certification qu'il connaît. Concernant ce certificat racine donc, deux possibilités :
Concernant « la raison invoquée […] qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine », c'est n'importe quoi, et si celui qui a proféré ces absurdités a un boulot touchant de près ou de loin à la sécurité informatique, le principal danger pour votre entreprise est la présence de cet incompétent à un tel poste.
Rien, il ne pourrait rien compromettre à partir de cette information publique, que n'importe qui peut récupérer et qui a pour but de permettre la validation des connexions.
[^] # Re: Certificat racine inutile mais pas gênant
Posté par Julien_J06 . Évalué à 1.
Bonjour Tanguy,
Merci pour la réponse :-)
J'ai pris finalement sur moi de créer mes .pkcs12 avec le certificat X509 au format .pem intégrant la chaîne complète de certification (après lecture de certains sites).
Pour la "raison invoquée", je dois dire que c'est une extrapolation née d'un "branstorming" avec des collègues qui s'y connaissent autant que moi en certificat, j'ai avancé cette idée et personne ne m'a contredit (certainement par politesse, alors que je cherchais peut-être cette contradiction).
En gros personne n'y croyait mais des fois, il faut poser les questions comme on les perçoit, comprendre pourquoi la question n'a pas de sens permet de poser les bonnes questions et trouver les bonnes réponses.
Julien_c'est_bien (y'a pas que Seb)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.