Le dimanche 13 septembre 2015 à 21:14 +0200, andre_debian@numericable.fr a écrit : > Il me semble que les certificats TLS, pour les serveurs de mail, > n'ont pas besoin de la signature d'une autorité officielle (payante), > à moins d'avoir la bénédiction de cacert.org ? > > Ce sont, pour l'instant, les certificats de serveurs Web en https > qui doivent être signés par une autorité officielle. > En fait, les clients mails acceptent souvent les certificats non signés, mais ils préfèrent quand même les certificats émanant d'une autorité de certification reconnue. Sinon, non, on ne peut pas, pour autant que je sache, modifier quelque paramètre que ce soit dans un certificat déjà fait, à moins de le refaire, car le modifier rendrait les signatures cryptographiques qu'il contient invalide. Logique, quand on y pense : ça oblige à refaire le certificat, donc à repasser par l'autorité de certification, à chaque modification de certificat. Sinon, ce serait trop facile de repousser indéfiniment la validité d'un certificat déjà signé ; de plus, ça empêche que des certificats restent trop longtemps en place, au risque de finir par être cassés, surtout s'ils utilisent des algorithmes de signature périmés depuis. -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85
Attachment:
signature.asc
Description: This is a digitally signed message part