Bah, c'est pas nouveau que les certifs, c'est du vent, un bout de papier
; tu ne payes "que" la renommée de l'autorité de certif. Et encore, avec
0 garantie, je me souviens de je sais plus quelle boite chez qui j'avais
un certif, startssl peut-être je sais plus ? un jour Google dit "on
n'aime plus cette boite alors à la prochaine version de chrome, c'est
mort". Et hop, au revoir la boîte et tous les sites avec. L'époque où
des verisign & co vendaient 1000 € / an un certif, tranquille, est
révolue. Merci let's encrypt.
D'autres ont trouvé d'autres idées : vendre du vent complet (un domaine
en .nimportequoiquesttropyoupi) à des prix complètement débiles...
Et le must : vendre des ipv4 la peau du c.. alors qu'on pourrait tous
gentiment passer en ipv6 et régler ce problème (avec d'autres au passage).
Un marketeux regorgera toujours d'idée pour faire du blé.
Pour en revenir au problème de départ, mais je crois que ça a été dit,
lets encrypt à ma connaissance, check l'IP d'un domaine au plus près (le
NS en charge) ; c'est ce que j'ai vu de mes générations de certif
parfois loupées car je mettais l'ip d'un serveur en me trompant (c'était
un autre serveur), avant de percuter. La modif d'IP était vue
instantanément et le certif généré sans souci, peu importe d'où arrive
la requête de let's encrypt (j'ai pas regardé si c'était assez
centralisé ou s'il y en avait sur toute la planète).
A+
Jacques M.
Le 29/09/2021 à 20:08, Théophile Helleboid a écrit :
Puisqu'on est sur des questions d'ordre théorique, autant pousser le
bouchon encore plus loin :
- le certificat TLS est généralement public. En tout cas, si tu
arrives à te connecter au service en TLS, c'est que le service envoie
son certificat (à récupérer avec openssl s_client -showcerts -connect
example.com:443 )
- c'est la clé privée liée à ce certificat qui t'intéresse en réalité.
C'est elle qui est nécessaire (avec le certificat) pour authentifier
la connexion
- si la clé privée a été utilisée pour plusieurs certificats, cela
peut être dangereux pour le propriétaire de la transmettre. Il peut
avoir généré plusieurs Certificate Signing Request (CSR) avec une même
clé privée, et donc avoir plusieurs certificats *différents* pour une
même clé. C'est plus large que "Est-ce que le certificat est multi-SAN
?".
- finalement, si c'est un certificat RSA, c'est "juste" 2 nombres
premiers. C'est amusant de penser que 2 nombres premiers peuvent avoir
autant de valeur.
On Tue, Sep 28, 2021 at 7:44 PM Vincent Habchi <vinc...@geomag.fr> wrote:
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé
de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le
certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait,
l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le
certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le
temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et
que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures
max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui
n’est pas le sien ?
Merci,
Vincent
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
