Re: Certificats SSL
On Thu, Dec 04, 2008 at 10:11:52PM +0100, Stephane Bortzmeyer wrote:
> Authentifier des serveurs Internet avec X.509 lorsqu'ils ont la même adresse IP
>
> http://www.bortzmeyer.org/auth-x509-plusieurs-noms.html
Wéééé une belle synthèse :-) Merci!
Un commentaire à chaud:
> [...] "Subject Alternative Name" [...]
>
> Elle fonctionne avec openssl (aussi bien pour générer le certificat que
> pour le vérifier) mais il faut que la CA qui signe l'accepte et
> j'ignore si les grosses CA ayant pignon sur rue le font ou pas.
Un autre gros problème de cette méthode est qu'elle n'est
pas vraiment applicable au cas (courant?) de virtual hosting
de sites indépendants sur serveur mutualisé: par exemple
plusieurs boutiques, dont certains sont peut-être des
escrocs, hébergés par le même hébergeur.
Cette méthode ne permet finalement que d'authentifier
l'hébergeur.
> SNI ("Server Name Indication") ne marche pas avec le module Apache
> mod_ssl, il faut utiliser mod_gnutls. Il y a un certificat par "Virtual
> Host" et elle ne gère donc pas le cas où un "Virtual Host" a plusieurs
> noms, avec la directive ServerAlias.
Question pertinante pour revenir dans le sujet: mod_gnutls
n'est pas actuellement packagé par Debian, ou c'est moi qui
suis handicapé de l'apt-cache search?
Y.
Reply to: