En revanche, ce n'est pas ce qui se fait habituellement, qui consiste à mettre un nom de domaine dans le CN. C'est une pratique issue d'une contrainte historique — un seul nom par certificat —, pratique tout à fait aberrante.
C'est fait pour les certificats EV (extended validation)
Pas besoin d'EV. On peut mettre son nom comme CN du sujet du certificat, et les noms de domaines comme subjectAltName. La convention, universelle et seule prise en charge partout, de mettre le nom de domaine en CN est une aberration.
[^] # Re: Multi site
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Généralisation du mode sécurisé dans HTTP 2.0 ?. Évalué à  6.
Bof, les systèmes antiques qui ne prennent pas en charge SNI ne sont pas en IPv6, faut pas rêver.
[^] # Re: Terrible
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Généralisation du mode sécurisé dans HTTP 2.0 ?. Évalué à  5.
DANE me semble bien pour ça, pourquoi ? Pitié, pas de « on ne peut pas résoudre un problème politique avec une solution technologique », la dernière fois que j'ai entendu quelque chose de semblable — « ton truc c'est un problème social, on ne peut pas résoudre un problème social par une solution technologique » — ben j'ai ignoré cet avis et simplement résolu le problème en question. Avec un solution technologique.
[^] # Re: Multi site
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Généralisation du mode sécurisé dans HTTP 2.0 ?. Évalué à  4.
Pour être plus précis, toutes les implémentations de SSL relativement récentes le prennent en charge, seules les implémentations antiques, de plus de dix ans, ne le prennent pas en charge, notamment celle de Windows XP.
# Et un autre
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Généralisation du mode sécurisé dans HTTP 2.0 ?. Évalué à  10.
Et un problème supplémentaire :
[^] # Re: Bah voyons
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Dual boot sur smartphone, vous en rêvez, Microsoft aimerait le faire.. Évalué à  10.
Moi ce que je trouve marrant, c'est l'aspect mendiant de cette histoire…
[^] # Re: rigolo comme blague
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Pas facile de s'y retrouver. Évalué à  5.
Même sur Usenet ? Les fils de discussion, ça vient de là non ? Un accès Usenet aux forums de DLFP, ça ce serait chouette non ?
[^] # Re: CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  2.
Euh, je me suis très mal exprimé. Aujourd'hui, on peut sans problème mettre son nom en CN, et les noms de domaine en subjectAltName. Ce sera pris en charge sur tous les logiciels, sauf les antiquités telles que Windows XP.
En revanche, ce n'est pas ce qui se fait habituellement, qui consiste à mettre un nom de domaine dans le CN. C'est une pratique issue d'une contrainte historique — un seul nom par certificat —, pratique tout à fait aberrante.
[^] # Re: CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  2. Dernière modification le 08 novembre 2013 à 13:33.
Pas besoin d'EV. On peut mettre son nom comme CN du sujet du certificat, et les noms de domaines comme subjectAltName. La convention, universelle et seule prise en charge partout, de mettre le nom de domaine en CN est une aberration.
[^] # Re: Pareil
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Taxe poids lourds. Évalué à  10.
Dans les critiques contre ce système :
[^] # Re: Bepo et programmation ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Le Bépo en console inclus de base sous GNU/Linux. Évalué à  -5.
Mmmh, achète-toi un pavé numérique ?
# Pareil
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Taxe poids lourds. Évalué à  10.
Pareil, avec un esprit que je veux synthétique, chaque fois que je conçois quelque chose, avant tout j'essaie de simplifier au maximum sa mise en œuvre, et je ne comprends pas qu'on puisse mettre en place de telles usines à gaz alors qu'une simple taxe sur le carburant aurait suffi, surtout vu les inconvénients de la méthode choisie à la place.
[^] # Re: DNSSEC & DANE
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  3.
Et si les logiciels le mettent en œuvre. Comme on parle surtout du web, je vous rappelle que cette application d'Internet est restée fossilisée à une époque antérieure à la simple introduction des enregistrements DNS dédiés aux protocoles, le premier étant le MX pour le courrier électronique, et n'a pas évolué depuis. HTML a évolué, HTTP est resté figé. Donc l'adoption d'un truc pareil, ce n'est pas pour demain, enfin dans Firefox il y a peut-être une chance, encore que, mais alors dans les autres…
[^] # Re: CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  3. Dernière modification le 08 novembre 2013 à 00:15.
C'est la seule chose qui est vérifiée pour les certificats de six mois. Et je suis d'accord, il n'y a pas de raison de vérifier l'identité, à moins de la mettre dans le certificat, ce qui n'est pas fait aujourd'hui. C'est d'ailleurs une absurdité du modèle actuel : quand tu vas sur le site de ta banque, ou que tu consultes ton courrier, tu te moques du nom de domaine, ce qui t'intéresse, c'est en réalité l'identité de la personne qui possède les serveurs auxquels tu te connectes.
[^] # Re: Mixer les méthodes ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  1. Dernière modification le 07 novembre 2013 à 14:58.
Édit : non rien (j'avais mis un commentaire qui n'était pas pertinent parce que répondant à aurte chose en fait).
[^] # Re: CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  4.
Je ne comprends pas la raison. Autant écarter l'auto-signé dans ce cas.
Pas compris.
Aller sur le site de CAcert, installer le certificat racine, sans garantie sur son intégrité.
[^] # Re: CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  6.
En un peu plus sérieux.
# CAcert
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Auto-hébergement et sécurisation des accès via HTTPS. Évalué à  10.
Tu as oublié de mentionner CAcert. Je complète donc.
utiliser un certificat de chez CAcert
ca-certificates
puis en important le certificat en question dans leur navigateur depuis leur système de fichier. À noter que même si ce n'est pas automatique, c'est déjà plus sérieux que d'accepter aveuglément un certificat auto-signé.On peut également mentionner le fait que la vérification d'identité par les membres de la communauté CAcert est nettement plus sérieuse que celle qu'effectuent les autorités de certification commerciales, dont l'intérêt est en fait de ne rien vérifier du tout pour éviter de devoir refuser des ventes. Mais cet avantage concerne le (mauvais) système X.509 en général et non les utilisateurs.
[^] # Re: LEMP
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Journal tuto : Plateforme LEMP. Évalué à  9.
Eh bien c'est tordu. LNMP serait plus compréhensible non ?
# LEMP
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Journal tuto : Plateforme LEMP. Évalué à  10.
LEMP ? LAMP, je connais, ça veut dire GNU/Linux, Apache, MySQL et PHP, mais LEMP ? Que signifie le E ?
[^] # Re: Digicube
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Un equivalent de Kimsufi. Évalué à  4.
Et ils sont adhérents à l'April. J'ai eu quelques pannes avec eux, suite à des tempêtes en Bretagne, où ils sont installés, mais ils rétablissent le service rapidement une fois l'événement passé.
[^] # Re: Si tu veux du boulot pour le week-end...
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal EnVadrouille, une galerie photo pour vos randos. Évalué à  9.
Non, pitié, pas Disqus… On n'installe pas son propre service d'albums photos pour aller mettre les commentaires sur un service privateur centralisé !
[^] # Re: Télécharger un album
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal EnVadrouille, une galerie photo pour vos randos. Évalué à  3.
Une galerie ? De quel logiciel parles-tu ?
[^] # Re: Télécharger un album
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal EnVadrouille, une galerie photo pour vos randos. Évalué à  3.
Accessoirement, c'est également une fonctionnalité qui différencie assez bien les services libres, dont il est facile d'extraire les données, des services privateurs dont il est difficile de sortir et qui encouragent l'utilisation exclusive de leur propre écosystème. Google Picasa par exemple…
[^] # Re: Télécharger un album
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal EnVadrouille, une galerie photo pour vos randos. Évalué à  3.
(après dans mes contraintes il y a des points bonus, comme l'utilisation de mots-clefs ou la localisation par exemple)
[^] # Re: Télécharger un album
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal EnVadrouille, une galerie photo pour vos randos. Évalué à  7. Dernière modification le 31 octobre 2013 à 14:54.
Note que je ne prétends pas que c'est une fonctionnalité qui sera demandée ou utilisée par beaucoup de gens, simplement que c'est une fonctionnalité très importante. C'est comme pouvoir changer soi-même l'huile d'un moteur ou l'eau d'un circuit de refroidissement, je doute que les gens le fassent souvent, il est très important de pouvoir le faire.
Là , le cas d'usage c'est un événement avec plusieurs personnes. A priori, tout le monde est intéressé par les photo. Les regarder en ligne, c'est une chose, mais il est important de pouvoir les récupérer définitivement, pour pouvoir les consulter lorsque le site sera retiré. Après, que les gens le fassent ou non, c'est leur problème, ce qui est important c'est de leur permettre de le faire.
En ce qui me concerne, ça fait partie des fonctionnalités indispensables. Actuellement, pour choisir un logiciel d'album photo en ligne, je regarde ceux qui :
Bon, actuellement j'utilise Gallery, mais c'était clairement un choix par défaut à l'époque où j'avais dû choisir. Aujourd'hui, je me tournerais plutôt vers PhotoShow je pense. Si EnVadrouille évolue et se trouve répondre à mon besoin, j'en profiterais bien pour l'empaqueter pour Debian.