On Sun, Nov 25, 2018 at 06:02:19PM +0100, Xavier Beaudouin <k...@oav.net> wrote a message of 38 lines which said:
> vu le nombre de fois en tant netops a cliquer sur "taggl je sais ce > que je fais" quand j'ai un équipement réseau avec une interface à > cliquodrome pour gérer le merdier mais avec un certif self signé, on > voit que la sécurité avec du https partout n'est pas encore > optimale. La meilleure solution (mais aussi la plus coûteuse en ressources humaines), dans ce cas, est d'avoir sa PKI, de mettre le certificat de la dite PKI dans les machines clientes, et de distribuer des beaux certificats aux équipements réseaux. Comme c'est du travail (et pas folichon) de gérer une PKI, une solution est d'en utiliser une qui existe, CAcert <http://cacert.org/> (oui, j'ai mis http://, je vous laisse réflechir à la raison). Leur certificat n'est typiquement pas dans les magasins mais, si on peut mettre le certificat de sa PKI dans les magasins, on peut aussi bien y mettre celui de CAcert. C'est ce que je fais pour les réseaux que je gère. Avantages : - gratuit - simple à utiliser Inconvénients : - vie privée (on donne à CAcert les noms de tous ses équipements). Faut que j'essaie avec un certificat avec joker. Le pire, ce sont les équipements où il est difficile/impossible de changer certificat et clé privée :-( --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
