Le 2019-10-22 10:20, David VANTYGHEM a écrit :
Pour le point 5, je dois donc enregistrer mon certificat signé dans
l'imprimante (qui fait serveur web).
Si j'utilise Let's Encrypt et certbot, comme indiqué sur
https://blog.poggs.com/?p=516, je dois absolument utiliser un nom de
domaine avec une extension non locale, comme indiqué sur
https://www.digicert.com/internal-names.htm
Il faut donc absolument que j'utilise un nom de domaine que j'ai déjà
enregistré ? Ou je peux utiliser un nom de domaine non local au pif
(BROTHERHL4500.nimportequoi) ?
Salut David,
À mon avis Let's Encrypt n'acceptera de signer que des noms de domaines
joignables sur Internet.
D'une manière générale, une autorité de certification doit être
considérée comme un tier de confiance qui cherche à vérifier que tu est
bien en "possession" d'un domaine donné avant de signer une demande. En
effet, dans le cas contraire, tu pourrais demander à signer un
certificat pour n'importe quel domaine dont tu n'as pas la gestion (je
te laisse imaginer la suite).
Classiquement, le "challenge" utilisé par les autorités de certification
consiste à te demander de placer des enregistrements DNS de type CNAME
dans ta zone DNS de ton domaine (publique). Ainsi, si l'autorité de
certification arrive à résoudre ces enregistrements, ça prouve que tu as
pu "modifier" le domaine, donc que tu en est l'administrateur légitime
(sauf si tu t'est fait piqué ton compte de gestion auprès du registrar
ou que celui-ci est moisi).
Dans le cas de Let's Encrypt, il existe plusieurs types de challenges :
https://letsencrypt.org/docs/challenge-types/
À la lumière de tout ça, on se rend compte qu'il faut non seulement
avoir confiance dans l'autorité de certification (qui pourrait émettre
des certificats de façon trop permissive) mais aussi dans le DNS ! D'où
l'importance de DNSSEC, DNS sur TLS, DoH (DNS over HTTPS), etc... À ce
sujet, le résolveur récursif de LDN permet maintenant de faire du DoH :
https://ldn-fai.net/serveur-dns-recursif-ouvert/
Le DoH est utilisable à partir de FF 68, présent dans Debian 10, dans le
menu "Préférences" -> Général -> Paramètres réseau -> Activer le DNS via
HTTPS. En activant cette fonction, seules les requêtes DNS de FF sont
modifiées, et ne tiennent donc plus compte du réglage DNS du système
d'exploitation. Comme les requêtes passent par HTTPS, le flux est
chiffré.
Autre alternative pour chiffrer le flux entre le client et le serveur
DNS, c'est d'utiliser DNS sur TLS, notamment via le paquet "stubby"
(dispo dans les dépôts debian). Cette méthode a l'avantage d'être plus
universelle que le DoH car le serveur stubby (qui écoute sur localhost)
peut être utilisé dans les réglages DNS de la carte réseau (et
s'applique donc à la plupart des logiciels). Stubby permet aussi
d'effectuer des requêtes DNSSEC.
Bon OK, je dérive sur le DNS, mais c'est lié à la thématique
certificats...
A+
Vincent
_______________________________________________
libre mailing list
[email protected]
https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
