Connexion sécurisée sur serveur web

Jarodd · 10/11/2012, 21h53

Salut salut,

Je dispose d'un serveur web (mutu) qui héberge plusieurs sites. Je souhaiterais chiffrer les données transitant vers ce serveur, notamment pour cacher certaines données lorsqu'on se connecte depuis une connexion "surveillée" (boulot notamment).

Je viens de me documenter un peu, la meilleure solution semble être le HTTPS. Seulement, si j'ai bien compris, il faut acheter un certificat pour que le serveur soit identifié comme sûr, ce que je ne peux pas faire. Apparemment avec Cacert ou Startcom c'est possible de l'avoir gratuitement, si on montre patte blanche. Mais je ne connais pas ces sites. Sont-ils sûrs ? Je me demande quel est le service qu'on n'a pas par rapport à un certificat payant.

Précision, il n'y a pas de transaction sur ce serveur, le besoin c'est juste pour protéger les données. Le fait d'avoir un message du navigateur indiquant que le certificat ne provient pas d'une entité connue n'est pas un problème.

Je suis ouvert à tout conseil permettant de le faire

Merci pour votre aide.

Jarodd · 14/11/2012, 21h25

Bonjour,

Je cherche toujours une solution

Pour mettre à jour les infos : mon hébergeur a ajouté une IP dédiée à mon compte (prérequis au certificat). Il demande un certificat réel installé pour justifier de l'attribution auprès de l'organisme en charge.

Personnellement je ne suis pas près à payer pour cela : c'est un besoin uniquement personnel, je cherche juste à sécuriser le trafic vers mon hébergement, car je sais qu'il est surveillé.

Du coup, le HTTPS ne me semble plus la solution idéale. Mais quoi alors ?

tulipebleu · 16/11/2012, 13h06

Un moyen simple de crypter consiste à utiliser jCryption. Cela crypte tout entre le serveur et le client. Par contre, il semble qu'il y ait des vulnérabilités.

Sinon, tu peux faire le cryptage à la main. L'idée, c'est d'utiliser le RSA. Pour rappel avec le RSA, un y a une clef publique et une clef privé. La clef publique ne sert qu'à crypter et la clef privé ne sert qu'à décrypter. Tu laisses la clef privée sur le serveur, et tu donne la clef public dans la page HTML avec ton javascript. Quand tu envoie ton formulaire, avant d'envoyé, tu crypte tous les paramètres (ou que ceux qui doivent être sécurisé) avec la clef public, et seul celui qui a la clef privée pourra décrypter. Autrement dit, si quelqu'un snife le réseau, il ne pourra pas décrypter le message.

Par contre, RSA ne peut crypté que des messages court (128bits c-a-d 8 octets). Pour contourner le problème, tu crypte les paramètres avec un cryptage symétrique (par exemple EAS), avec une clef généré de façon aléatoire par le javascript. Ensuite, la clef tu la crypte avec la clef publique du RSA. Au final, la page envoie les paramètres crypté avec EAS, et la clef EAS crypté avec la clef publique de RSA.

Pour plus d'info :
Faiblesses de jCrypton

Explication de la methode en anglais

Exemple d'implémentation

fredoche · 16/11/2012, 14h39

tu peux créer une autorité racine, puis émettre ton propre certificat basé sur ta propre chaine de confiance, que tu installeras sur cette machine pour du https

Sur windows server ça se fait très bien, j’imagine que tu as tous ce qu'il faut sur des systèmes sous linux

10/11/2012, 21h53	#1
Jarodd Membre confirmé Inscription : août 2005 Messages : 349 Détails du profil Informations forums : Inscription : août 2005 Messages : 349 Points : 284 Points : 284	Connexion sécurisée sur serveur web Salut salut, Je dispose d'un serveur web (mutu) qui héberge plusieurs sites. Je souhaiterais chiffrer les données transitant vers ce serveur, notamment pour cacher certaines données lorsqu'on se connecte depuis une connexion "surveillée" (boulot notamment). Je viens de me documenter un peu, la meilleure solution semble être le HTTPS. Seulement, si j'ai bien compris, il faut acheter un certificat pour que le serveur soit identifié comme sûr, ce que je ne peux pas faire. Apparemment avec Cacert ou Startcom c'est possible de l'avoir gratuitement, si on montre patte blanche. Mais je ne connais pas ces sites. Sont-ils sûrs ? Je me demande quel est le service qu'on n'a pas par rapport à un certificat payant. Précision, il n'y a pas de transaction sur ce serveur, le besoin c'est juste pour protéger les données. Le fait d'avoir un message du navigateur indiquant que le certificat ne provient pas d'une entité connue n'est pas un problème. Je suis ouvert à tout conseil permettant de le faire Merci pour votre aide.
	00

14/11/2012, 21h25	#2
Jarodd Membre confirmé Inscription : août 2005 Messages : 349 Détails du profil Informations forums : Inscription : août 2005 Messages : 349 Points : 284 Points : 284	Bonjour, Je cherche toujours une solution Pour mettre à jour les infos : mon hébergeur a ajouté une IP dédiée à mon compte (prérequis au certificat). Il demande un certificat réel installé pour justifier de l'attribution auprès de l'organisme en charge. Personnellement je ne suis pas près à payer pour cela : c'est un besoin uniquement personnel, je cherche juste à sécuriser le trafic vers mon hébergement, car je sais qu'il est surveillé. Du coup, le HTTPS ne me semble plus la solution idéale. Mais quoi alors ?
	00

16/11/2012, 13h06	#3
tulipebleu Membre régulier Inscription : mars 2003 Messages : 134 Détails du profil Informations forums : Inscription : mars 2003 Messages : 134 Points : 71 Points : 71	Un moyen simple de crypter consiste à utiliser jCryption. Cela crypte tout entre le serveur et le client. Par contre, il semble qu'il y ait des vulnérabilités. Sinon, tu peux faire le cryptage à la main. L'idée, c'est d'utiliser le RSA. Pour rappel avec le RSA, un y a une clef publique et une clef privé. La clef publique ne sert qu'à crypter et la clef privé ne sert qu'à décrypter. Tu laisses la clef privée sur le serveur, et tu donne la clef public dans la page HTML avec ton javascript. Quand tu envoie ton formulaire, avant d'envoyé, tu crypte tous les paramètres (ou que ceux qui doivent être sécurisé) avec la clef public, et seul celui qui a la clef privée pourra décrypter. Autrement dit, si quelqu'un snife le réseau, il ne pourra pas décrypter le message. Par contre, RSA ne peut crypté que des messages court (128bits c-a-d 8 octets). Pour contourner le problème, tu crypte les paramètres avec un cryptage symétrique (par exemple EAS), avec une clef généré de façon aléatoire par le javascript. Ensuite, la clef tu la crypte avec la clef publique du RSA. Au final, la page envoie les paramètres crypté avec EAS, et la clef EAS crypté avec la clef publique de RSA. Pour plus d'info : Faiblesses de jCrypton Explication de la methode en anglais Exemple d'implémentation
	00

16/11/2012, 14h39	#4
fredoche Membre éprouvé Inscription : décembre 2003 Messages : 385 Détails du profil Informations forums : Inscription : décembre 2003 Messages : 385 Points : 479 Points : 479	tu peux créer une autorité racine, puis émettre ton propre certificat basé sur ta propre chaine de confiance, que tu installeras sur cette machine pour du https Sur windows server ça se fait très bien, j’imagine que tu as tous ce qu'il faut sur des systèmes sous linux
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email