B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Commence par descendre le TTL du domaine à 10 min, et t’emmerde pas avec le juridique, AMHA. Discutez des heures pour un certificat gratuit, ça me semble un peu stérile. Si c’était un certificat « haut-de-gamme » payé pour 5 ou 7 ans, je pourrais comprendre.
Le 28 sept. 2021 à 17:42, Vincent Habchi vincent@geomag.fr a écrit :
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Liste de diffusion du FRsAG http://www.frsag.org/
Hello !
Commence par descendre le TTL du domaine à 10 min, et t’emmerde pas avec le juridique, AMHA.
Bonne idée, ça tiens, j’y avais pas pensé.
Discutez des heures pour un certificat gratuit, ça me semble un peu stérile. Si c’était un certificat « haut-de-gamme » payé pour 5 ou 7 ans, je pourrais comprendre.
Oui, je suis d’accord. Ma question, sans être rhétorique, était plutôt d’ordre théorique que pratique.
Merci de ta réponse ! V.
Le mardi 28 sept. 2021 à 18:07:05 (+0200), Vincent Habchi a écrit :
Oui, je suis d’accord. Ma question, sans être rhétorique, était plutôt d’ordre théorique que pratique.
T'as pas les réponses dans le contrat ?
Bonjour,
Letsencrypt a des dns qui ont des TTL très cours (je n'ai pas le chiffre) et donc ils ignorent complètement ton TTL de ta zone.
Après le mieux c'est de préparer ta migration au niveau dns aussi en mettant un TTL le plus bas possible sur ton gestionnaire dns (60 secondes c'est accepté par tous les recursifs mais certains registrar forcent du 300 ou 600) uniquement sur les enregistrements qui en ont besoin, en gros le www, pas sur la zone en global.
Et avec ça tu pourras faire ta génération de LE rapidement.
Sinon si le certificat utilisé actuellement est un multi domaine en toute logique il ne peut pas te le donner sinon tu auras un certificat qui répond sur des urls qui ne t'appartiennent pas et donc possibilité de faire du MITM.
Bon courage
Le 28/09/2021 à 17:42, Vincent Habchi a écrit :
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
Après le mieux c'est de préparer ta migration au niveau dns aussi en mettant un TTL le plus bas possible sur ton gestionnaire dns (60 secondes c'est accepté par tous les recursifs mais certains registrar forcent du 300 ou 600) uniquement sur les enregistrements qui en ont besoin, en gros le www, pas sur la zone en global.
Oui, excellente idée, je viens de mettre 600. Faut pas déconner, je ne m’occupe pas de TF1 :p
Sinon si le certificat utilisé actuellement est un multi domaine en toute logique il ne peut pas te le donner sinon tu auras un certificat qui répond sur des urls qui ne t'appartiennent pas et donc possibilité de faire du MITM.
Je comprends.
Mais inversement, comment être sûr que l’ancien hébergeur ne conserve pas un certificat valide pour une URL dont il ne s’occupe plus ?
V.
Bonjour,
J'ai eu le cas avec un client qui ne voulait pas payer ses factures et avec qui je n'ai pas forcé pour qu'il migre ailleurs.
Tout dépend ce que le prestataire te facture.
S'il est compris dans un forfait mensuel ou l'achat et le renouvellement sont à la charge de l'hébergeur, je dirai qu'il lui appartient.
Si celui-ci t'a facturé l'achat et que tu as certifié être la société propriétaire du certificat (type EV ou DV par exemple) alors il est a toi.
Dans les bonnes pratiques, lorsqu'un client migre chez un autre fournisseur, on fournit tout ce qui convient pour que le service fonctionne sur une autre plateforme.
Dès lors que la facturation est à jour, il n'y a pas de raison de ne pas te communiquer cette information.
Cependant, en fonction de ton contrat, il n'est pas interdit au prestataire de facturer la sortie de sa plateforme pour compiler les informations qu'il a sur ton service.
Sinon la solution, c'est d'acheter rapidement un certificat chez le fournisseur de domaine ou via un autre opérateur d'ailleurs.
Le certificat de base coûte assez peu cher et va t'épargner une perte de temps avec des personnes qui vont difficilement répondre à ton besoin
Bonne soirée
________________________________ De : FRsAG frsag-bounces@frsag.org de la part de Vincent Habchi vincent@geomag.fr Envoyé : mardi 28 septembre 2021 17:42:49 À : frsag Objet : [FRsAG] Propriété d'un certificat SSL
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en ajoutant un champ TXT. Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait en douceur le temps de la propagation.
Ronan Dily Responsable Informatique Tél : 02 97 47 17 37 Mob : 06 25 01 92 64 ronan.dily@rouxel.fr -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Vincent Habchi Envoyé : mardi 28 septembre 2021 17:43 À : frsag Objet : [FRsAG] Propriété d'un certificat SSL
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 28/09/2021 à 18:19, Ronan Dily a écrit :
Salut,
Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en ajoutant un champ TXT. Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait en douceur le temps de la propagation.
Clairement la solution pour laquelle j'opterais. Par exemple, ça s'appelle DNS manual mode dans acme.sh : https://github.com/acmesh-official/acme.sh/wiki/DNS-manual-mode
Ca te permet de valider que ton certificat est fonctionnel AVANT de changer quoi que ce soit et ensuite tu as trois mois pour faire ta bascule et générer un certificat qui se renouvellera automatiquement ensuite (par HTTP-01 comme tu sembles vouloir le faire).
Julien
Sinon tu achète un DV sur gandi ou a 6$ sur thesslstore, tu le valide en DNS ou en mail, et tu arrête de te prendre la tête pour un tarif aussi peu élevé !
Sinon pour infos, let's encrypt ignore totalement les caches DNS, lors d'une demande de certificat, les serveurs de LE viennent faire la query directement sur le serveur autoritaire. (aka baisser le TTL ne sert a rien pour let's encrypt).
Le 29/09/2021 à 08:36, Julien Escario a écrit :
Le 28/09/2021 à 18:19, Ronan Dily a écrit :
Salut,
Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en ajoutant un champ TXT. Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait en douceur le temps de la propagation.
Clairement la solution pour laquelle j'opterais. Par exemple, ça s'appelle DNS manual mode dans acme.sh : https://github.com/acmesh-official/acme.sh/wiki/DNS-manual-mode
Ca te permet de valider que ton certificat est fonctionnel AVANT de changer quoi que ce soit et ensuite tu as trois mois pour faire ta bascule et générer un certificat qui se renouvellera automatiquement ensuite (par HTTP-01 comme tu sembles vouloir le faire).
Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Puisqu'on est sur des questions d'ordre théorique, autant pousser le bouchon encore plus loin : - le certificat TLS est généralement public. En tout cas, si tu arrives à te connecter au service en TLS, c'est que le service envoie son certificat (à récupérer avec openssl s_client -showcerts -connect example.com:443 ) - c'est la clé privée liée à ce certificat qui t'intéresse en réalité. C'est elle qui est nécessaire (avec le certificat) pour authentifier la connexion - si la clé privée a été utilisée pour plusieurs certificats, cela peut être dangereux pour le propriétaire de la transmettre. Il peut avoir généré plusieurs Certificate Signing Request (CSR) avec une même clé privée, et donc avoir plusieurs certificats *différents* pour une même clé. C'est plus large que "Est-ce que le certificat est multi-SAN ?". - finalement, si c'est un certificat RSA, c'est "juste" 2 nombres premiers. C'est amusant de penser que 2 nombres premiers peuvent avoir autant de valeur.
On Tue, Sep 28, 2021 at 7:44 PM Vincent Habchi vincent@geomag.fr wrote:
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Liste de diffusion du FRsAG http://www.frsag.org/
Bah, c'est pas nouveau que les certifs, c'est du vent, un bout de papier ; tu ne payes "que" la renommée de l'autorité de certif. Et encore, avec 0 garantie, je me souviens de je sais plus quelle boite chez qui j'avais un certif, startssl peut-être je sais plus ? un jour Google dit "on n'aime plus cette boite alors à la prochaine version de chrome, c'est mort". Et hop, au revoir la boîte et tous les sites avec. L'époque où des verisign & co vendaient 1000 € / an un certif, tranquille, est révolue. Merci let's encrypt.
D'autres ont trouvé d'autres idées : vendre du vent complet (un domaine en .nimportequoiquesttropyoupi) à des prix complètement débiles...
Et le must : vendre des ipv4 la peau du c.. alors qu'on pourrait tous gentiment passer en ipv6 et régler ce problème (avec d'autres au passage).
Un marketeux regorgera toujours d'idée pour faire du blé.
Pour en revenir au problème de départ, mais je crois que ça a été dit, lets encrypt à ma connaissance, check l'IP d'un domaine au plus près (le NS en charge) ; c'est ce que j'ai vu de mes générations de certif parfois loupées car je mettais l'ip d'un serveur en me trompant (c'était un autre serveur), avant de percuter. La modif d'IP était vue instantanément et le certif généré sans souci, peu importe d'où arrive la requête de let's encrypt (j'ai pas regardé si c'était assez centralisé ou s'il y en avait sur toute la planète).
A+
Jacques M.
Le 29/09/2021 à 20:08, Théophile Helleboid a écrit :
Puisqu'on est sur des questions d'ordre théorique, autant pousser le bouchon encore plus loin :
- le certificat TLS est généralement public. En tout cas, si tu
arrives à te connecter au service en TLS, c'est que le service envoie son certificat (à récupérer avec openssl s_client -showcerts -connect example.com:443 )
- c'est la clé privée liée à ce certificat qui t'intéresse en réalité.
C'est elle qui est nécessaire (avec le certificat) pour authentifier la connexion
- si la clé privée a été utilisée pour plusieurs certificats, cela
peut être dangereux pour le propriétaire de la transmettre. Il peut avoir généré plusieurs Certificate Signing Request (CSR) avec une même clé privée, et donc avoir plusieurs certificats *différents* pour une même clé. C'est plus large que "Est-ce que le certificat est multi-SAN ?".
- finalement, si c'est un certificat RSA, c'est "juste" 2 nombres
premiers. C'est amusant de penser que 2 nombres premiers peuvent avoir autant de valeur.
On Tue, Sep 28, 2021 at 7:44 PM Vincent Habchi vincent@geomag.fr wrote:
B’jour à tous,
Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse.
Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne.
J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur.
Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique.
Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ?
Merci,
Vincent
Liste de diffusion du FRsAG http://www.frsag.org/
-
Christophe Moille -
David Ponzone -
Jacques MICHAU -
Jean RAVE -
Julien Escario -
Pierre DOLIDON -
Ronan Dily -
Théophile Helleboid -
Vincent Habchi -
Wallace