______________
Le 14 septembre 2015 16:07, David Guyot <david.guyot@europecamions-interactive.com> a écrit :
Le dimanche 13 septembre 2015 à 21:14 +0200, andre_debian@numericable.fr
a écrit :
> Il me semble que les certificats TLS, pour les serveurs de mail,
> n'ont pas besoin de la signature d'une autorité officielle (payante),
> à moins d'avoir la bénédiction de cacert.org ?
>
> Ce sont, pour l'instant, les certificats de serveurs Web en https
> qui doivent être signés par une autorité officielle.
>
En fait, les clients mails acceptent souvent les certificats non signés,
mais ils préfèrent quand même les certificats émanant d'une autorité de
certification reconnue.
Sinon, non, on ne peut pas, pour autant que je sache, modifier quelque
paramètre que ce soit dans un certificat déjà fait, à moins de le
refaire, car le modifier rendrait les signatures cryptographiques qu'il
contient invalide. Logique, quand on y pense : ça oblige à refaire le
certificat, donc à repasser par l'autorité de certification, à chaque
modification de certificat. Sinon, ce serait trop facile de repousser
indéfiniment la validité d'un certificat déjà signé ; de plus, ça
empêche que des certificats restent trop longtemps en place, au risque
de finir par être cassés, surtout s'ils utilisent des algorithmes de
signature périmés depuis.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85