Topic: [OK] Certificats SSL pour HTTPS ?

Salut à tous !

Je viens de constater que le HTTPS est activé sur les domaines hébergés par TuxFamily, cool :)
Par contre, le certificat semble avoir expiré le 13 juillet 2007, ce qui provoque un warning des navigateurs.

Autrement, je me demandais s'il était possible ou envisagé de permettre aux hébergés d'utiliser leurs propres certificats SSL ? ça éviterait l'alerte qui indique que le certificat provient du domaine web.tuxfamily.org. On en trouve maintenant à des prix abordables.

Ce n'est absolument pas une demande, perso je peux m'en passer, c'est juste une suggestion ;)
A bientôt et merci pour votre super boulot

Re: [OK] Certificats SSL pour HTTPS ?

Des certificats à des prix abordables ? Oui, « gratuit » donc: CAcert.org

ps: d'autant plus que cette autorité de certification est reconnu par pas mal de browser (tel que firefox).

Real programmers code in binary :: http://gapz.tuxfamily.org

Re: [OK] Certificats SSL pour HTTPS ?

anw wrote:

Je viens de constater que le HTTPS est activé sur les domaines hébergés par TuxFamily, cool :)
Par contre, le certificat semble avoir expiré le 13 juillet 2007, ce qui provoque un warning des navigateurs.

Hop, c'est renouvelé, http://tuxfamily.info/?p=101


anw wrote:

Autrement, je me demandais s'il était possible ou envisagé de permettre aux hébergés d'utiliser leurs propres certificats SSL ? ça éviterait l'alerte qui indique que le certificat provient du domaine web.tuxfamily.org.

Non car il faut encore une IP par site (ou un port par certificat, ce qui n'est pas très pratique derrière les firewall).

La lib openssl est entrain d'être modifié doucement pour supprimer cette limitation mais il faut que les logiciels suivent derrière et que ce soit dans Debian stable et qu'on migre dessus, bref, c'est pas demain ;-)


Sylvain

Re: [OK] Certificats SSL pour HTTPS ?

gapz wrote:

Des certificats à des prix abordables ? Oui, « gratuit » donc: CAcert.org

Si TuxFamily utilise un jour ces certificats, de l'argent sera reversé à CAcert, donc je valide les quotes autour de gratuit :)


gapz wrote:

ps: d'autant plus que cette autorité de certification est reconnu par pas mal de browser (tel que firefox).

C'est faux, les distribs gentilles ajoutent le certificat, c'est dans aucun navigateur par défaut.

Re: [OK] Certificats SSL pour HTTPS ?

Merci pour ces explications, j'ignorais que la lib openssl souffrait de cette limitation et je ne connaissais pas CAcert.

Si l'on ne peut faire tourner qu'un seul certificat par port/ip, il reste la possibilité de générer un certificat unique qui serait valide:
1) soit pour l'ensemble des domaine hébergés qui en feraient la demande (je ne sais pas s'il y a une limite par certificat)
2) soit pour l'ensemble des sous-domaines (*.tuxfamily.org)

Pour la première solution, ce serait top, mais j'imagine que c'est difficilement réalisable (nécessité de recréer le certificat régulièrement), quoique ça peut s'automatiser.
La deuxième solution me paraît réalisable, mais elle ne concernerait que ceux qui ont un sous-domaine TF.

Re: [OK] Certificats SSL pour HTTPS ?

anw wrote:

Merci pour ces explications, j'ignorais que la lib openssl souffrait de cette limitation et je ne connaissais pas CAcert.

Ce n'est pas une limitation de la lib openssl, c'est juste une question de couche, la couche SSL est sous Apache et n'a pas connaissance du vhost utilisé. C'est entrain d'être modifié doucement pour faire communiquer les deux couches mais sur TuxFamily ça ne verra jamais le jour vu qu'il n'y a qu'un seul vhost :)

anw wrote:

Si l'on ne peut faire tourner qu'un seul certificat par port/ip, il reste la possibilité de générer un certificat unique qui serait valide:
1) soit pour l'ensemble des domaine hébergés qui en feraient la demande (je ne sais pas s'il y a une limite par certificat)
Pour la première solution, ce serait top, mais j'imagine que c'est difficilement réalisable (nécessité de recréer le certificat régulièrement), quoique ça peut s'automatiser.

Exactement, puis un certif il est censé ne pas changer, sinon bah il sert juste simplement à rien. Et ça ne peut marcher qu'avec une clef self-signée.


anw wrote:

2) soit pour l'ensemble des sous-domaines (*.tuxfamily.org)
La deuxième solution me paraît réalisable, mais elle ne concernerait que ceux qui ont un sous-domaine TF.

L'* n'est pas standard du tout, c'est un usage de fait mais c'est pas dit que ça fonctionne, c'est même une abhération pour moi. Puis comme tu le dis il n'y a pas que les sites TF, je vois pas pourquoi ils devraient être plus avantagés que ceux qui possèdent leurs propres domaines :)

Re: [OK] Certificats SSL pour HTTPS ?

Je suis tout à fait d'accord, attendons qu'une solution plus propre soit dispo :)

Re: [OK] Certificats SSL pour HTTPS ?

anw wrote:

Je suis tout à fait d'accord, attendons qu'une solution plus propre soit dispo :)

De fait, c'est un truc de sécurité incompatible avec le mutu de masse, TuxFamily doit être le seul à fournir du SSL là dessus, mais ya qu'une seule clef pour tout le monde, c'est mieux que rien, mais c'est pas fantastique non plus, c'est cool pour pas balancer le pass de son forum ou le pass de son interface de CMS en clair mais ça ne peut pas servir à autre chose.

Ceci dit on peut imaginer un truc qui aille chopper la clef dans le home du site, mais faudra attendre un moment le temps que les softs soient prévu pour ça :)