Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
Re: [sympa-fr] Configuration SSL : 2 réponses
- From: Aumont <adresse@cachée>
- To: adresse@cachée
- Cc: Olivier LACROIX <adresse@cachée>
- Subject: Re: [sympa-fr] Configuration SSL : 2 réponses
- Date: Thu, 11 Jan 2001 10:53:27 +0100
Excusez moi pour le raté dans la première réponse.
Olivier LACROIX wrote:
> Mon premier but est de pouvoir accéder à wwsympa via https.
C'est en effet la première application de la crypto dans sympa. En donnant
des certificats aux proprio de listes et en choisissant des scénario qui
oblige l'authentification s/mime, on gagne sur l'aspect pratique (plus de
login) et sur l'aspect sécu.
> Mais lorsque j'y accède, j'ai comme beau message :
> Le site 'www.ciril.fr' a exigé l'authentification du client, mais vous ne
> possédez pas de certificat personnel pour vous authentifier. Sans
> certificat,
> le site peut choisir de vous refuser l'accès.
Il te faut en effet des certificats pour les utilisateurs, sinon https ne te
sert
qu'à crypter les échanges serveur<->clients. Configure Apache pour mettre
cette
authentification optionelle : tout le monde peut alors utiliser wws, ceux qui
n'ont pas de certificat doivent se loginer. Exemple https://listes.cru.fr/wws
>
> Comment faire pour générer ce certificat et l'intégrer dans mon navigateur ?
C'est pas du tout le scoop de Sympa, mais puisque tu as installé ta propre CA
regarde de ce coté. Il peut être didactique de suivre la procédure de thawte
pour obtenir un certificat perso. La doc de OpenSSL est touffue, mais tu n'en
fera pas l'économie.
J'en profite pour signaler que le cru a le projet de monter un tutorial PKI
d'ici l'été ou à la rentré.(cela concerne les universités, CNRS et grandes
écoles).
Sur le même sujet, Jérome Marant wrote:
Aumont <adresse@cachée> writes:
>
> Merci pour ces réponses.
>
> > Si l'on force l'abonnement avec signature S/MIME on raisonnablement sur
> > d'avoir
> > les certificats de chaque abonné, on peut alors diffuser des messages
> > cryptés
> > pourcette liste.
>
> Dans ces cas là , si l'on récupère les certificats des utilisateurs, il
> s'agit
> bien entendu de leurs clé publique. Ne s'agit-il pas plutôt d'un mécanisme
> authentification de type PKCS7 ? Le cryptage du message dans ce pas précis
> n'est pas utile, seul un hachage sur ce message compte. Suis-je dans
> l'erreur ?
C'est bien cela, je précise bien signature S/MIME. Elle contient le
certificat du
signataire, c.a.d. sa clef publique plus un tas d'autres trucs. Cette capture
permet plus tard la diffusion cryptée. A noter que le message de bienvenue
d'une
liste disposant d'un certificat est signé ce qui permet aux abonné de
recevoir le
certificat de la liste (celui-ci est maintenant disponible aussi dans la page
info de la liste).
> Ici, la clé publique de la liste est distribuée aux utilisateurs et
> ceux-ci
> peuvent crypter leurs messages avec, car seule la liste, qui a la clé
> privée,
> peut décrypter ces messages. J'imagine que la liste reçoit un message
> crypté,
> le décrypte avec sa clé privée et l'encrypte avec la clé publique de
> l'abonné
> qui sera le seul à pouvoir le décrypter avec sa clé privée. On peut ainsi
> conserver le secret au sein de la liste.
> Ai-je bien compris ?
C'est cela. Il y a quand même une restriction : on a pas un cryptage de bout
en bout,
un méchant listmaster peut lire ce qui transite (même si le message est jamais
stocké en clair sur le disque).
Serge
--
-----------------------------------------------------------
Serge Aumont Comité Réseaux des Universités
Campus Beaulieu
35042 Rennes Cedex +33 2 998 471 47
-
Re: [sympa-fr] Configuration SSL,
Olivier LACROIX, 11/01/2001
-
Re: [sympa-fr] Configuration SSL : 2 réponses,
Aumont, 11/01/2001
- Re: [sympa-fr] Configuration SSL : 2 réponses, Jérôme Marant, 11/01/2001
-
Re: [sympa-fr] Configuration SSL : 2 réponses,
Aumont, 11/01/2001
Archives gérées par MHonArc 2.6.19+.