Salut Vincent, Merci pour tes explications. Je ne savais pas qu'on pouvait être sa propre autorité de certification et installer un certificat racine dans le navigateur. Mais je ne vais pas me lancer la-dedans pour l'instant.
En entreprise, je n'ai en effet jamais vu personne acheter un certificat pour les imprimante, on en génère un pour la durée maximale possible et on valide l'exception de sécurité dans le navigateur quand accède à la page web de gestion de l'imprimante. Je suppose que c'est ce même certificat qui est utilisé quand on imprime avec le protocole IPPS mais cela ne gêne pas CUPS ni les serveurs d'impression Windows si le certificat n'est pas signé. Je vois rarement des imprimantes configurées avec un protocole d'impression chiffré. En général, tous les protocoles sont activés sur l'imprimante et tout le monde imprime avec un protocole non chiffré. Et le mot de passe de l'administrateur pour accéder à la page web est presque toujours le mot de passe par défaut du constructeur ou celui de l'installateur qui ne le change jamais depuis 50 ans (genre 1234). C'est je pense un point faible de la sécurité qu'on retrouve dans quasiment toutes les entreprises. Pour le point 5, je dois donc enregistrer mon certificat signé dans l'imprimante (qui fait serveur web). Si j'utilise Let's Encrypt et certbot, comme indiqué sur https://blog.poggs.com/?p=516, je dois absolument utiliser un nom de domaine avec une extension non locale, comme indiqué sur https://www.digicert.com/internal-names.htm Il faut donc absolument que j'utilise un nom de domaine que j'ai déjà enregistré ? Ou je peux utiliser un nom de domaine non local au pif (BROTHERHL4500.nimportequoi) ? Non, je ne pense pas, il faut qu'il soit signé par une autorité de certification. Mon imprimante me permet de générer un fichier de demande de signature (fichier CSR) que je peux par exemple, je suppose, transmettre à Let's Encrypt ou autre autorité. Mais les autorités de certification ne signent que des certificats Le 22/10/2019 à 00:18, Vincent MERLET a écrit : > Le 21/10/2019 à 09:05, David VANTYGHEM a écrit : >> Si j'ai bien compris, je dois faire une demande de signature du >> certificat que j'ai généré : >> https://support.brother.com/g/b/faqend.aspx?c=be&lang=fr&prod=mfcl3750cdw_us_eu_as&faqid=faq00100422_003 >> >> Les fabricants d'imprimantes ne font pas cela gratuitement ? >> > > Salut David, > > Oui, le problème c'est que ton certificat n'est pas signé. > > Ce qu'explique la doc de brother c'est : > 1 : l'imprimante génère une clef privée et un CSR > 2 : tu télécharge le CSR (Certificate Signing Request) qui comme son nom > l'indique permet de demander un certificat signé. Note, le CSR ne > contient pas la clef privée, pas de soucis. > 3 : tu donnes le CSR à une autorité de certification (comodo, certigna, > letsencrypt, etc...) > 4 : l'autorité de certification te retourne un certificat signé > 5 : tu positionnes le certificat signé sur le serveur où il y a la clef > privée (typiquement un serveur web, nginx, apache, etc...) > > Note : si tu as un doute sur la correspondance de la clef privée avec un > CSR ainsi que le certificat signé, tu peux vérifier le "modulus" qui est > une info que tu dois retrouver dans les 3 fichiers : > > https://www.shellhacks.com/openssl-check-private-key-matches-ssl-certificate-csr/ > > Ce qui est important, c'est de conserver ta clef privée "privée" ! > L'autorité de certification n'en a pas besoin pour émettre le > certificat. Et si tu penses que ta clef privée a été volée, tu peux > demander à l'autorité de certification de révoquer le certificat qui > sera invalidé avant sa date d'expiration via le mécanisme de CRL/OCSP > (Certificate Revocation List / OCSP est un mécanisme plus "dynamique" de > recherche de révocation). > > Historiquement, signer un certificat avec une autorité reconnue des > navigateur ça coûtait cher (une centaine d'euro par domaine et par an, > sans inclure de "wildcard" pour les sous-domaines...). Et avec des > options de validation étendue (EV) ça peut coûter encore plus cher ! > > Maintenant il y a letsencrypt (LE en abrégé). La durée d'un certificat > LE n'est que de 3 mois environ, mais la création et le renouvellement > peuvent être automatisés (notamment avec le client "certbot" disponible > dans les dépôts debian). > > https://letsencrypt.org/ > > Si tu ne peux pas faire tourner le client LE dans ton imprimante, tu > peux peut être faire fonctionner le client sur un autre ordi puis > pousser le certificat signé vers ton périphérique. C'est évoqué sur le > site : > > https://letsencrypt.org/getting-started/ > -> Without Shell Access > --> "If your hosting provider doesn’t want to integrate Let’s Encrypt, > but does support uploading custom certificates" > > Sinon, en environnement restreint (c'est à dire pas sur Internet et un > faible nombre de machines connues et configurables) tu peux envisager > d'avoir ta propre autorité de certification (CA) et de charger la chaîne > correspondante dans ton navigateur. L'avantage de cette méthode c'est > que tu peux générer des certificats longue validité. L'inconvénient > c'est qu'il faut monter la CA et bricoler le navigateur, du coup ceux > qui n'ont pas importé le CA dans leurs navigateurs auront une erreur > comme un certificat autosigné. > > Note : pour les vendeurs d'imprimantes qui veulent aller vite, j'imagine > qu'ils te conseillent souvent de valider l'exception de sécurité du > certificat autosigné dans le navigateur... Maintenant, ils pourraient > aussi intégrer un client LE. > > Les autorité de certification historiques existent toujours (et c'est > toujours assez cher) et ont entre autre l'avantage de pouvoir générer > des certificats valides pour 1 an voire plus. Donc tu peux envisager de > positionner/renouveller ce type de certificat manuellement sans > connecter le périphérique sur Internet. C'est raisonnable si le nombre > de matériels est limité. > > A+ > > Vincent > _______________________________________________ > libre mailing list > [email protected] > https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre -- Installer facilement Linux : http://infolib.re .--. |o_o | ||_/ | // \\ Envoyé depuis mon Linux (| |) / \_ _/ \ \___)=(___/ _______________________________________________ libre mailing list [email protected] https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
