Pour les gens qui comme moi vivent dans un environnement hostile oĂč le proxy fait du MITM https, il serait bien d'ajouter la possibilitĂ© pour le client de fournir un certificat SSL (a priori avec l'option optional).
Pour faire simple et quitte Ă prendre quelques raccourcis, on peut se contenter de gĂ©nĂ©rer Ă la demande une clĂ© privĂ©e pour l'utilisateur sur le serveur, la signer avec une Certification Authority linuxfr.org, envoyer tout ça sous forme d'un fichier p12 envoyĂ© Ă l'adresse mail du client et fournir le mot de passe de la clĂ© dans le tableau de bord. Une option activable dans le tableau de bord permettrait de se rendre compte visuellement sur le site si on visite le site en ayant fourni un client certificate valide. Le client certificate peut mĂȘme remplacer l'authentification de l'utilisateur dans ce cas.
Faute d'avoir la clé privée le proxy https ne peut pas s'authentifier et est donc contraint soit de ne pas envoyer de certificat client (ce qui se voit si on a activé l'option), soit de laisser passer la connexion avec le certificat dedans sans pouvoir l'intercepter.
# Humm...
PostĂ©Â par Bruno Michel (site web personnel) . ĂvaluĂ©Â Ă Â 4 (+0/-0).
C'est un besoin trĂšs spĂ©cifique et assez compliquĂ© Ă mettre en place. Ăa ne sera mis en place que si un contributeur externe est prĂȘt Ă faire le gros du travail.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent Ă celles et ceux qui les ont postĂ©s. Nous nâen sommes pas responsables.