Projet

Général

Profil

Evolution #39

certificat https officiel

Ajouté par Laurent GUERBY il y a plus de 13 ans. Mis à jour il y a presque 10 ans.

Statut:
Résolu
Priorité:
Normal
Assigné à:
Raphaël Durand
Catégorie:
-
Début:
18/07/2011
Echéance:
% réalisé:

100%

Temps estimé:

Description

Choisir un fournisseur, doit marcher si possible sur tout les navigateurs

Historique

#1 Mis à jour par Laurent GUERBY il y a plus de 13 ans

Discussion interessante :

http://ask.slashdot.org/story/11/08/06/1841210/Ask-Slashdot-Does-SSL-Validation-Matter

http://perspectives-project.org/
"Notaries" => surveillance distribuée des changements de certificat SSL

#3 Mis à jour par Raphaël Durand il y a presque 12 ans

J'ai parlé à Laurent de fabriquer des certificats SSL sur Cacert.
Je l'ai déjà fait pour mon serveur perso Ultrawaves.fr
Avantages : C'est gratuit et militant
Inconvénient : le certificat racine n'est pas reconnu par défaut sur les navigateurs et les OS (sauf Debian).

Je propose de faire un test avec ces certificats.

#4 Mis à jour par Matthieu Herrb il y a presque 12 ans

Le principe de CA-Cert c'est de certifier (on dit par anglicisme "assurer") les identités de personnes et indirectement de domaines DNS associés pour produire des certificats x509.

La démarche c'est:
  1. créer un compte sur cacert.org
  2. rencontrer des "assureurs" de cacert à qui on montre 2 documents d'identité avec photo. En fonction de la confiance que fait l'assureur à ces documents et donc à cette identité, l'assureur attribue des points (entre 1 et 35).
  3. à partir d'un certain nombre de points on peut faire certifier un certificat x509 par l'autorité de certification de cacert.
    Collatérallement, on peut faire signer sa clé PGP si on veut à ce niveau.
  4. on peut aussi enregister des domaines dont on est admin (en prouvant via messages envoyés à l'adresse de contact, ou via infos ajoutées dans le DNS ou sur une page web) et faire signer des certificats pour ces domaines.
  5. quand on a assez de points, on devient soi-même assureur et on peut à son tour distribuer des points à d'autres.

Les seuils sont expliqués sur cette page: http://wiki.cacert.org/FAQ/Privileges

(AP c'est les "Assurance Points" dont je parle ci-dessus, EP c'est les "Experience Points" que les assureurs accumulent en fonction des assurances qu'ils font.)

#5 Mis à jour par Raphaël Durand il y a presque 12 ans

guerby a ouvert un compte sur CAcert, c'est lui qui fera l'émission des certificats pour les serveurs.
Matthieu l'a certifié en lui donnant 35 points, mais il en faut 50 pour fabriquer des certificats bien reconnus. (selon les explications de Matthieu)
Je monte sur Paris le 7 juillet, je tâcherais de trouver des accréditeurs pour gagner des points et pouvoir en donner à guerby.

#6 Mis à jour par Laurent GUERBY il y a plus de 11 ans

Je devrai avoir 35+35 = 70 points grace a Benjamin d'Octopuce

#7 Mis à jour par yannick deroche il y a plus de 11 ans

Et concrètement? ça permettrait de générer des cert en *.tetaneutral.net pour les hosting des adhérents?
A quoi d'autre?

#8 Mis à jour par Thomas Pedoussaut il y a plus de 11 ans

Je (Thomas Pedoussaut) peux aussi assurer (pour un faible nombre de points).

#9 Mis à jour par Raphaël Durand il y a plus de 11 ans

J'ai pas mal avancé sur le sujet, je pourrais vous en parler de vive voix demain mercredi 24 juillet.

-A partir de 50 points sur CAcert on peut créer un certificat serveur.
J'ai réussi à créer un certificat class 1 wildcard ( .*.exemple.com), mais pour rajouter d'autres niveaux (exemple.com, *..*.exemple.com) il faut modifier la conf de OpenSSL et je n'arrive pas à faire fonctionner la modif.
On peut aussi créer un certificat class 3 plus sécurisé, mais ça nécessite des modifs dans Apache ou nginx et je ne l'ai pas encore testé.

Je ramènerais des formulaires pour ceux qui veulent se faire assurer.

#10 Mis à jour par Raphaël Durand il y a plus de 11 ans

C'est bon j'ai trouvé toutes les configs nécessaires à la fabrication de certificats corrects.
Il faut fabriquer des certificats de classe 3, la classe 1 n'étant encore disponible que pour la compatibilité avec des systèmes plus anciens.
(explications : ici http://wiki.cacert.org/FAQ/TechnicalQuestions#CA)

J'ai trouvé un tuto pour rajouter des subjectAltName et donc mettre plusieurs noms de domaines dans le certificat.
http://langui.sh/2009/02/27/creating-a-subjectaltname-sanucc-csr/

Un certificat de ce type est installé sur mon serveur, vous pouvez tester en allant sur https://ultrawaves.fr ou https://www.ultrawaves.fr et regarder les détails du certificat.
Je vais pouvoir mettre tout cela au propre dans un tutorial.

On va pouvoir fabriquer un certificat correct pour le serveur web (tetaneutral.net et www.tetaneutral.net)
Si ça marche on pourra l'étendre à d'autre services xxxx.tetaneutral.net et notamment aux adhérents qui utilisent des sous-domaines.

#11 Mis à jour par Raphaël Durand il y a plus de 11 ans

Je vous linke également ce document qui liste les OS qui incluent ce certificat par défaut : http://wiki.cacert.org/InclusionStatus

#12 Mis à jour par Raphaël Durand il y a plus de 11 ans

Un certificat SSL CACert a été mis en place sur la homepage de Tetaneutral.
Vous pouvez le voir en allant sur https://tetaneutral.net ou https://www.tetaneutral.net

Si c'est concluant on pourra l'étendra aux autres VM (chiliproject,lg, etc...)

#13 Mis à jour par Raphaël Durand il y a presque 10 ans

  • % réalisé changé de 50 à 100
  • Statut changé de En cours à Fermé

Un certificat Wildcard a été pris chez Gandi et installé sur les services qui en ont besoin.
Evolution réalisée.

#14 Mis à jour par Raphaël Durand il y a presque 10 ans

  • Statut changé de Fermé à Résolu

Formats disponibles : Atom PDF