Il faut quand même savoir que si c'est OK pour le test, accepter les certificats auto-signés (ou signés par une autorité non reconnue) diminue fortement la sécurité (la connections est chiffrée, mais par contre pour la protection contre le man-in-the-middle c'est comme s'il n'y avait pas de certificat, attendu que tout le monde peut vous envoyer un certificat autosigné ou signé par sa propre autorité...)
______________ Éric Dégenètais Henix http://www.henix.com http://www.squashtest.org Le 14 septembre 2015 16:07, David Guyot < [email protected]> a écrit : > Le dimanche 13 septembre 2015 à 21:14 +0200, [email protected] > a écrit : > > > Il me semble que les certificats TLS, pour les serveurs de mail, > > n'ont pas besoin de la signature d'une autorité officielle (payante), > > à moins d'avoir la bénédiction de cacert.org ? > > > > Ce sont, pour l'instant, les certificats de serveurs Web en https > > qui doivent être signés par une autorité officielle. > > > > En fait, les clients mails acceptent souvent les certificats non signés, > mais ils préfèrent quand même les certificats émanant d'une autorité de > certification reconnue. > > Sinon, non, on ne peut pas, pour autant que je sache, modifier quelque > paramètre que ce soit dans un certificat déjà fait, à moins de le > refaire, car le modifier rendrait les signatures cryptographiques qu'il > contient invalide. Logique, quand on y pense : ça oblige à refaire le > certificat, donc à repasser par l'autorité de certification, à chaque > modification de certificat. Sinon, ce serait trop facile de repousser > indéfiniment la validité d'un certificat déjà signé ; de plus, ça > empêche que des certificats restent trop longtemps en place, au risque > de finir par être cassés, surtout s'ils utilisent des algorithmes de > signature périmés depuis. > > -- > David Guyot > Administrateur système, réseau et télécom / Sysadmin > Europe Camions Interactive / Stockway > Moulin Collot > F-88500 Ambacourt > 03 29 30 47 85 >
