Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 4 sur 4
  1. #1
    Membre émérite Avatar de Jarodd
    Inscrit en
    août 2005
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : août 2005
    Messages : 584
    Points : 837
    Points
    837

    Par défaut Connexion sécurisée sur serveur web

    Salut salut,

    Je dispose d'un serveur web (mutu) qui héberge plusieurs sites. Je souhaiterais chiffrer les données transitant vers ce serveur, notamment pour cacher certaines données lorsqu'on se connecte depuis une connexion "surveillée" (boulot notamment).

    Je viens de me documenter un peu, la meilleure solution semble être le HTTPS. Seulement, si j'ai bien compris, il faut acheter un certificat pour que le serveur soit identifié comme sûr, ce que je ne peux pas faire. Apparemment avec Cacert ou Startcom c'est possible de l'avoir gratuitement, si on montre patte blanche. Mais je ne connais pas ces sites. Sont-ils sûrs ? Je me demande quel est le service qu'on n'a pas par rapport à un certificat payant.

    Précision, il n'y a pas de transaction sur ce serveur, le besoin c'est juste pour protéger les données. Le fait d'avoir un message du navigateur indiquant que le certificat ne provient pas d'une entité connue n'est pas un problème.

    Je suis ouvert à tout conseil permettant de le faire

    Merci pour votre aide.

  2. #2
    Membre émérite Avatar de Jarodd
    Inscrit en
    août 2005
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : août 2005
    Messages : 584
    Points : 837
    Points
    837

    Par défaut

    Bonjour,

    Je cherche toujours une solution

    Pour mettre à jour les infos : mon hébergeur a ajouté une IP dédiée à mon compte (prérequis au certificat). Il demande un certificat réel installé pour justifier de l'attribution auprès de l'organisme en charge.

    Personnellement je ne suis pas près à payer pour cela : c'est un besoin uniquement personnel, je cherche juste à sécuriser le trafic vers mon hébergement, car je sais qu'il est surveillé.

    Du coup, le HTTPS ne me semble plus la solution idéale. Mais quoi alors ?

  3. #3
    Membre régulier
    Inscrit en
    mars 2003
    Messages
    136
    Détails du profil
    Informations forums :
    Inscription : mars 2003
    Messages : 136
    Points : 74
    Points
    74

    Par défaut

    Un moyen simple de crypter consiste à utiliser jCryption. Cela crypte tout entre le serveur et le client. Par contre, il semble qu'il y ait des vulnérabilités.

    Sinon, tu peux faire le cryptage à la main. L'idée, c'est d'utiliser le RSA. Pour rappel avec le RSA, un y a une clef publique et une clef privé. La clef publique ne sert qu'à crypter et la clef privé ne sert qu'à décrypter. Tu laisses la clef privée sur le serveur, et tu donne la clef public dans la page HTML avec ton javascript. Quand tu envoie ton formulaire, avant d'envoyé, tu crypte tous les paramètres (ou que ceux qui doivent être sécurisé) avec la clef public, et seul celui qui a la clef privée pourra décrypter. Autrement dit, si quelqu'un snife le réseau, il ne pourra pas décrypter le message.

    Par contre, RSA ne peut crypté que des messages court (128bits c-a-d 8 octets). Pour contourner le problème, tu crypte les paramètres avec un cryptage symétrique (par exemple EAS), avec une clef généré de façon aléatoire par le javascript. Ensuite, la clef tu la crypte avec la clef publique du RSA. Au final, la page envoie les paramètres crypté avec EAS, et la clef EAS crypté avec la clef publique de RSA.

    Pour plus d'info :
    Faiblesses de jCrypton

    Explication de la methode en anglais

    Exemple d'implémentation

  4. #4
    Membre Expert
    Inscrit en
    décembre 2003
    Messages
    974
    Détails du profil
    Informations forums :
    Inscription : décembre 2003
    Messages : 974
    Points : 1 574
    Points
    1 574

    Par défaut

    tu peux créer une autorité racine, puis émettre ton propre certificat basé sur ta propre chaine de confiance, que tu installeras sur cette machine pour du https

    Sur windows server ça se fait très bien, j’imagine que tu as tous ce qu'il faut sur des systèmes sous linux

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •