Project

General

Profile

Evolution #39

certificat https officiel

Added by Laurent GUERBY over 8 years ago. Updated over 4 years ago.

Status:
Résolu
Priority:
Normal
Category:
-
Start date:
07/18/2011
Due date:
% Done:

100%

Estimated time:

Description

Choisir un fournisseur, doit marcher si possible sur tout les navigateurs

History

#1 Updated by Laurent GUERBY over 8 years ago

Discussion interessante :

http://ask.slashdot.org/story/11/08/06/1841210/Ask-Slashdot-Does-SSL-Validation-Matter

http://perspectives-project.org/
"Notaries" => surveillance distribuée des changements de certificat SSL

#3 Updated by Raphaël Durand over 6 years ago

J'ai parlé à Laurent de fabriquer des certificats SSL sur Cacert.
Je l'ai déjà fait pour mon serveur perso Ultrawaves.fr
Avantages : C'est gratuit et militant
Inconvénient : le certificat racine n'est pas reconnu par défaut sur les navigateurs et les OS (sauf Debian).

Je propose de faire un test avec ces certificats.

#4 Updated by Matthieu Herrb over 6 years ago

Le principe de CA-Cert c'est de certifier (on dit par anglicisme "assurer") les identités de personnes et indirectement de domaines DNS associés pour produire des certificats x509.

La démarche c'est:
  1. créer un compte sur cacert.org
  2. rencontrer des "assureurs" de cacert à qui on montre 2 documents d'identité avec photo. En fonction de la confiance que fait l'assureur à ces documents et donc à cette identité, l'assureur attribue des points (entre 1 et 35).
  3. à partir d'un certain nombre de points on peut faire certifier un certificat x509 par l'autorité de certification de cacert.
    Collatérallement, on peut faire signer sa clé PGP si on veut à ce niveau.
  4. on peut aussi enregister des domaines dont on est admin (en prouvant via messages envoyés à l'adresse de contact, ou via infos ajoutées dans le DNS ou sur une page web) et faire signer des certificats pour ces domaines.
  5. quand on a assez de points, on devient soi-même assureur et on peut à son tour distribuer des points à d'autres.

Les seuils sont expliqués sur cette page: http://wiki.cacert.org/FAQ/Privileges

(AP c'est les "Assurance Points" dont je parle ci-dessus, EP c'est les "Experience Points" que les assureurs accumulent en fonction des assurances qu'ils font.)

#5 Updated by Raphaël Durand over 6 years ago

guerby a ouvert un compte sur CAcert, c'est lui qui fera l'émission des certificats pour les serveurs.
Matthieu l'a certifié en lui donnant 35 points, mais il en faut 50 pour fabriquer des certificats bien reconnus. (selon les explications de Matthieu)
Je monte sur Paris le 7 juillet, je tâcherais de trouver des accréditeurs pour gagner des points et pouvoir en donner à guerby.

#6 Updated by Laurent GUERBY over 6 years ago

Je devrai avoir 35+35 = 70 points grace a Benjamin d'Octopuce

#7 Updated by yannick deroche over 6 years ago

Et concrètement? ça permettrait de générer des cert en *.tetaneutral.net pour les hosting des adhérents?
A quoi d'autre?

#8 Updated by Thomas Pedoussaut over 6 years ago

Je (Thomas Pedoussaut) peux aussi assurer (pour un faible nombre de points).

#9 Updated by Raphaël Durand over 6 years ago

J'ai pas mal avancé sur le sujet, je pourrais vous en parler de vive voix demain mercredi 24 juillet.

-A partir de 50 points sur CAcert on peut créer un certificat serveur.
J'ai réussi à créer un certificat class 1 wildcard ( .*.exemple.com), mais pour rajouter d'autres niveaux (exemple.com, *..*.exemple.com) il faut modifier la conf de OpenSSL et je n'arrive pas à faire fonctionner la modif.
On peut aussi créer un certificat class 3 plus sécurisé, mais ça nécessite des modifs dans Apache ou nginx et je ne l'ai pas encore testé.

Je ramènerais des formulaires pour ceux qui veulent se faire assurer.

#10 Updated by Raphaël Durand over 6 years ago

C'est bon j'ai trouvé toutes les configs nécessaires à la fabrication de certificats corrects.
Il faut fabriquer des certificats de classe 3, la classe 1 n'étant encore disponible que pour la compatibilité avec des systèmes plus anciens.
(explications : ici http://wiki.cacert.org/FAQ/TechnicalQuestions#CA)

J'ai trouvé un tuto pour rajouter des subjectAltName et donc mettre plusieurs noms de domaines dans le certificat.
http://langui.sh/2009/02/27/creating-a-subjectaltname-sanucc-csr/

Un certificat de ce type est installé sur mon serveur, vous pouvez tester en allant sur https://ultrawaves.fr ou https://www.ultrawaves.fr et regarder les détails du certificat.
Je vais pouvoir mettre tout cela au propre dans un tutorial.

On va pouvoir fabriquer un certificat correct pour le serveur web (tetaneutral.net et www.tetaneutral.net)
Si ça marche on pourra l'étendre à d'autre services xxxx.tetaneutral.net et notamment aux adhérents qui utilisent des sous-domaines.

#11 Updated by Raphaël Durand over 6 years ago

Je vous linke également ce document qui liste les OS qui incluent ce certificat par défaut : http://wiki.cacert.org/InclusionStatus

#12 Updated by Raphaël Durand about 6 years ago

Un certificat SSL CACert a été mis en place sur la homepage de Tetaneutral.
Vous pouvez le voir en allant sur https://tetaneutral.net ou https://www.tetaneutral.net

Si c'est concluant on pourra l'étendra aux autres VM (chiliproject,lg, etc...)

#13 Updated by Raphaël Durand over 4 years ago

  • % Done changed from 50 to 100
  • Status changed from En cours to Fermé

Un certificat Wildcard a été pris chez Gandi et installé sur les services qui en ont besoin.
Evolution réalisée.

#14 Updated by Raphaël Durand over 4 years ago

  • Status changed from Fermé to Résolu

Also available in: Atom PDF