Discussion :

[Jarodd]

Salut salut,

Je dispose d'un serveur web (mutu) qui héberge plusieurs sites. Je souhaiterais chiffrer les données transitant vers ce serveur, notamment pour cacher certaines données lorsqu'on se connecte depuis une connexion "surveillée" (boulot notamment).

Je viens de me documenter un peu, la meilleure solution semble être le HTTPS. Seulement, si j'ai bien compris, il faut acheter un certificat pour que le serveur soit identifié comme sûr, ce que je ne peux pas faire. Apparemment avec Cacert ou Startcom c'est possible de l'avoir gratuitement, si on montre patte blanche. Mais je ne connais pas ces sites. Sont-ils sûrs ? Je me demande quel est le service qu'on n'a pas par rapport à un certificat payant.

Précision, il n'y a pas de transaction sur ce serveur, le besoin c'est juste pour protéger les données. Le fait d'avoir un message du navigateur indiquant que le certificat ne provient pas d'une entité connue n'est pas un problème.

Je suis ouvert à tout conseil permettant de le faire

Merci pour votre aide.

[Jarodd]

Bonjour,

Je cherche toujours une solution

Pour mettre à jour les infos : mon hébergeur a ajouté une IP dédiée à mon compte (prérequis au certificat). Il demande un certificat réel installé pour justifier de l'attribution auprès de l'organisme en charge.

Personnellement je ne suis pas près à payer pour cela : c'est un besoin uniquement personnel, je cherche juste à sécuriser le trafic vers mon hébergement, car je sais qu'il est surveillé.

Du coup, le HTTPS ne me semble plus la solution idéale. Mais quoi alors ?

[tulipebleu]

Un moyen simple de crypter consiste à utiliser jCryption. Cela crypte tout entre le serveur et le client. Par contre, il semble qu'il y ait des vulnérabilités.

Sinon, tu peux faire le cryptage à la main. L'idée, c'est d'utiliser le RSA. Pour rappel avec le RSA, un y a une clef publique et une clef privé. La clef publique ne sert qu'à crypter et la clef privé ne sert qu'à décrypter. Tu laisses la clef privée sur le serveur, et tu donne la clef public dans la page HTML avec ton javascript. Quand tu envoie ton formulaire, avant d'envoyé, tu crypte tous les paramètres (ou que ceux qui doivent être sécurisé) avec la clef public, et seul celui qui a la clef privée pourra décrypter. Autrement dit, si quelqu'un snife le réseau, il ne pourra pas décrypter le message.

Par contre, RSA ne peut crypté que des messages court (128bits c-a-d 8 octets). Pour contourner le problème, tu crypte les paramètres avec un cryptage symétrique (par exemple EAS), avec une clef généré de façon aléatoire par le javascript. Ensuite, la clef tu la crypte avec la clef publique du RSA. Au final, la page envoie les paramètres crypté avec EAS, et la clef EAS crypté avec la clef publique de RSA.

Pour plus d'info :
Faiblesses de jCrypton

Explication de la methode en anglais

Exemple d'implémentation

[fredoche]

tu peux créer une autorité racine, puis émettre ton propre certificat basé sur ta propre chaine de confiance, que tu installeras sur cette machine pour du https

Sur windows server ça se fait très bien, j’imagine que tu as tous ce qu'il faut sur des systèmes sous linux