lalahop

Ce blog et le shaarli associé sont aussi disponibles en HTTP over TLS, plus "parce qu'on peut le faire et que c'est intéressant de le faire" que par nécessité.

Le certificat utilisé est multi-domaines et il est signé par une Autorité de Certification personnelle. Il ne faut donc en attendre aucun gage de sérieux, rien, même pas une liste des révocations, c'est dire !

Votre navigateur émettra des alertes et vous devrez confirmer une exception de sécurité ... Classique. Soit vous le faîtes pour le blog, puis pour le Shaarli puis pour tout "nouveau" sous-domaine de guiguishow.info. ...

Soit vous ajoutez le certificat de mon AC personnelle. Il est disponible à cette adresse. Vous pouvez vérifier son empreinte SHA-256, 49:3E:4D:FD:EE:79:7C:C0:1B:9E:ED:60:57:87:ED:D4:54:23:18:A6:4A:72:F8:7B:AC:E3:E8:B1:58:E6:EA:D2, mais ça ne va pas être d'une grande utilité, le canal n'étant ni sécurisé ni différent de celui que l'on cherche à sécuriser (problème classique de l'initialisation). Pour ceux et celles qui font confiance à ma clé GPG, vous pouvez récupérer et vérifier la signature. Il faut ensuite importer le certificat dans votre navigateur. Par exemple, avec Firefox, ça donne Édition -> Préférences -> Avancé -> Chiffrement -> Afficher les certificats -> Autorités -> Importer (ou juste de cliquer sur le lien ci-dessus, ça marche aussi).

Dès que le TLD info. acceptera la soumission de délégations signées, je pourrais même envisager de publier un enregistrement DNS de type TLSA de DANE. Je pourrais aussi le faire actuellement avec DLV, why not ... ÉDIT DU 21/11/2016 À 20H30 : c'est désormais le cas : un enregistrement DNS de type TLSA contient l'empreinte SHA-256 de l'intégralité du certificat de mon AC perso. J'ai écris un shaarli à propos de ma mise en pratique de DANE TLSA. FIN DE L'ÉDIT.

Pourquoi une AC perso et du multi-domaines ?

  • ÉDIT DU 21/11/2016 À 20H30 : le modèle de sécurité de x509 est cassé par essence alors bon, les AC, c'est mignon mais ça ne sert bien à rien. FIN DE L'ÉDIT.
  • wildcard < multi-domaines < SNI ... Cool, je n'ai pas choisi la pire des solutions ;
  • Les vraies AC elles ont des process de sécurité/qualité et ... Oh, wait ! ;
  • STARTSSL (qui a connu une intrusion sur son réseau en 2011 qui n'a pas conduit à la génération de faux certificats, ceci dit) ou CAcert sont un minimum ... ou pas ;
  • Cela désensibilise encore plus les utilisateurs vis à vis des avertissements émis par les navigateur ... Ils ne réalisent pas l'impact qu'a l'ajout d'une AC (un certificat d'AC accepté par une partie fait que l'on peut générer de faux certificats pour n'importe quel site afin de tromper la partie) ;

Les commentaires sont fermés