❦ 7 avril 2021 08:45 +02, Francois Lesueur: >> Ce qui est super chiant quand tu développes (car tu bosses généralement avec >> de l'auto signé) > > Pour les certificats de dév, il y a mkcert > (https://github.com/FiloSottile/mkcert) qui est super et exprès pour ça > : création d'une CA locale et installation sur le système/les browsers > en une ligne, puis création d'un certif signé par cette CA en une autre > ligne, et zou !
Ce n'est pas forcément la panacée non plus. On se retrouve avec un certificat racine qui permet d'intercepter tout le trafic HTTPS. Certains auront vite fait de se partager une CA déjà générée. C'est bien signalé dans le README, mais il faut sans doute bien faire l'éducation des users sur le sujet. Il serait pas mal de limiter la validité de la CA à un domaine particulier avec l'extension Named Constraints. > Pour aller un poil plus loin, la suite smallstep est top : > https://smallstep.com/docs/step-ca/getting-started . Ça permet de > générer une vraie CA, il y aussi une commande pour l'installer > proprement sur les browsers locaux, puis les certifs. Ça fait même du > ACME (protocole de Let's Encrypt) : > https://smallstep.com/docs/tutorials/acme-challenge Ça a effectivement l'air très sympathique comme produit ! Merci du lien ! -- Make sure every module hides something. - The Elements of Programming Style (Kernighan & Plauger) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
