Hello, > On 7 Apr 2021, at 10:09, Vincent Bernat <[email protected]> wrote: > > L'auto-signé fonctionne désormais en mode "trust on first use", comme > SSH. Cela apporte donc une authentification partielle. Dans Firefox, le > hash du certificat est stocké dans "cert_override.txt" dans le profil de > l’utilisateur.
Perso, je vends des boites (“consumer electronics” comme on dit) donc pas trop moyen de leur livrer un certificat valide, et les utilisateurs utilisent une adresse en .local de toute façon pour y accéder. Ce qu’on a fait c’est qu’on livre les fingerprints du certificat auto-signé sur un papier avec la boîte (nos utilisateurs sont plutôt geeks) et on leur explique qu’il faut vérifier à la première connexion. Chrome étant vraiment devenu pénible, merci pour l’astuce du “thisisunsafe” ça ira dans la FAQ. Pro-tip: n’oubliez pas le alt-name dans vos auto-signés, c’est maintenant requis même s’il n’y a qu’un seul domaine dedans… openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout local.key -out local.crt -subj "/C=WW/ST=World/O=$MYNAME/OU=$MYNAME/CN=$MYNAME.local" -extensions san -config <( \ echo '[req]'; \ echo 'distinguished_name=req'; \ echo "[san]"; \ echo "subjectAltName=DNS:$MYNAME.local") ++ ic --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
