| [mandrivafr] Certificats SSL |
[ Thread Index |
Date Index
| More magnum.tuxfamily.org/association Archives
]
- To: association@xxxxxxxxxxxxxxxxxxxx
- Subject: [mandrivafr] Certificats SSL
- From: "Vincent Panel" <yohonet@xxxxxxxxx>
- Date: Mon, 23 Jun 2008 18:30:05 +0200
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:mime-version:content-type:content-transfer-encoding :content-disposition; bh=ll66XOb9txk9tr/lIHtTZLOK6KKScV7seHXW+/OMP7I=; b=amoodsnTlSasnfmcJq0RYxQiJJ6CBA9wSvtOIoQ+gidAph7Ebbdih+PqbKjTPfWfum mr9Wt875aR69Z3FZ1PHRjWAq2BsGfssnp6GkM6NCrh7jSUh4CaxojgwuWqxmerxFtTZZ b115346q8EGYqw04t25FjqZ07clWBe/jzTM1s=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:mime-version:content-type :content-transfer-encoding:content-disposition; b=v0sDJUJthXotqkMjWisvMAbAR5T2SNjJBoEaqyQR1jOuSC7DbbpsPQeKK7c8ay13dm TyN0szjrQc1ce8TTjZHhnQjO39z/HYiWZHs1ItjEOwoKqYe3ktD000haf9/eDgXbXoUD Gxl9N0Qjk1DgVvTRXe5aR0cYeNAyqtjSFkvOE=
Salut,
Bon, on avait légèrement abordé le sujet dans un thread précédent mais
voilà, on y est : on a besoin d'encrypter les connexions dans les
navigateurs en https puisqu'on va pouvoir faire transiter son password
en clair sur le réseau (en fait, c'est malheureusement déjà le cas
lorsqu'on se logge avec trac ! :-( ). Et avec LDAP, le risque est très
grand qu'on puisse chopper le password de qqn qui va sur le site et
ensuite, l'utiliser pour se logger en SSH...
Bref, pour encrypter en SSL, c'est hyper simple, c'est les doigts dans
le nez. D'ailleurs c'est déjà fait, c'est fait par défaut. Mais pour
les grands amateurs de sécurité, sachez qu'on a actuellement un
certificat auto-signé. Cela implique que la plupart des navigateurs
vont raller quand on va en https sur le site (simple à tester, cliquer
sur le lien suivant : https://www.mandrivafr.org/). Le pire des
navigateurs pour ce côté là étant... firefox 3 qui oblige à un nombre
de clics impressionnants pour faire confiance au site.
Pour éviter cela, il faut se fournir un certificat SSL depuis une
autorité de certification reconnue (et donc payer).
Les moins chers (présumés) sont les certificats de godaddy :
https://www.godaddy.com/gdshop/ssl/ssl.asp avec 27$ par an. Il existe
aussi cacert : https://www.cacert.org/ qui sont assez ambigües : ils
donnent l'apparence de "on est libre, on est gratuit, on se base sur
la communauté", mais j'ai pu lire des choses assez terrifiantes sur ce
qu'ils peuvent faire des certificats et des adresses mails glanées...
Bref, 2 questions :
* As-t-on besoin d'un tel certificat ou accepte-t-on que l'utilisateur
doive faire 4 clics et alors, on a notre propre certificat gratuit (ce
qui oblige à un peu de gestion supplémentaire : renouvellement du
certificat, protection de la clé privée, etc...)
* Si on achète un certificat : est-ce que godaddy rentre dans le
budget ? Avez vous d'autres fournisseurs de certificat moins chers en
tête (ou dans votre navigateur) ?
Voilà, merci de votre participation !
Vincent.
---
http://magnum.tuxfamily.org - http://wiki.mandriva.com/fr/Association_des_utilisateurs_de_Mandriva