Bah, c'est pas nouveau que les certifs, c'est du vent, un bout de papier ; tu ne payes "que" la renommée de l'autorité de certif. Et encore, avec 0 garantie, je me souviens de je sais plus quelle boite chez qui j'avais un certif, startssl peut-être je sais plus ? un jour Google dit "on n'aime plus cette boite alors à la prochaine version de chrome, c'est mort". Et hop, au revoir la boîte et tous les sites avec. L'époque où des verisign & co vendaient 1000 € / an un certif, tranquille, est révolue. Merci let's encrypt.
D'autres ont trouvé d'autres idées : vendre du vent complet (un domaine en .nimportequoiquesttropyoupi) à des prix complètement débiles...
Et le must : vendre des ipv4 la peau du c.. alors qu'on pourrait tous gentiment passer en ipv6 et régler ce problème (avec d'autres au passage).
Un marketeux regorgera toujours d'idée pour faire du blé.
Pour en revenir au problème de départ, mais je crois que ça a été dit, lets encrypt à ma connaissance, check l'IP d'un domaine au plus près (le NS en charge) ; c'est ce que j'ai vu de mes générations de certif parfois loupées car je mettais l'ip d'un serveur en me trompant (c'était un autre serveur), avant de percuter. La modif d'IP était vue instantanément et le certif généré sans souci, peu importe d'où arrive la requête de let's encrypt (j'ai pas regardé si c'était assez centralisé ou s'il y en avait sur toute la planète).
A+
Jacques M.
Le 29/09/2021 à 20:08, Théophile Helleboid a écrit :
Puisqu'on est sur des questions d'ordre théorique, autant pousser le bouchon encore plus loin :
- le certificat TLS est généralement public. En tout cas, si tu
arrives à te connecter au service en TLS, c'est que le service envoie son certificat (à récupérer avec openssl s_client -showcerts -connect example.com:443 )
- c'est la clé privée liée à ce certificat qui t'intéresse en réalité.
C'est elle qui est nécessaire (avec le certificat) pour authentifier la connexion
- si la clé privée a été utilisée pour plusieurs certificats, cela
peut être dangereux pour le propriétaire de la transmettre. Il peut avoir généré plusieurs Certificate Signing Request (CSR) avec une même clé privée, et donc avoir plusieurs certificats *différents* pour une même clé. C'est plus large que "Est-ce que le certificat est multi-SAN ?".
- finalement, si c'est un certificat RSA, c'est "juste" 2 nombres
premiers. C'est amusant de penser que 2 nombres premiers peuvent avoir autant de valeur.
On Tue, Sep 28, 2021 at 7:44 PM Vincent Habchi vincent@geomag.fr wrote:
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Liste de diffusion du FRsAG http://www.frsag.org/