Discussion :

[pasquiel]

Bonjour,

Jusqu'à présent, j'ai sécurisé mes serveurs apache avec une authentification forte par certificat.
Toutefois le protocole SSL pendant le handshake stipule que l'on peut parfaitement faire l’échange de clés secrètes sans que le serveur ou le client ne présentent de certificat. Je souhaite me placer dans ce cas, ne profitant que de l'encryptage du flux.


Seulement j'ai l'impression que le mod_ssl rend le paramètre SSLCertificateFile obligatoire. Est-ce le cas? Est-il possible de configurer un mod_ssl sans certificat serveur?

[Marc3001]

J'ai pas trouvé grand chose concernant du HTTPS certificateless.

Je pense qu'en activant uniquement les algorithmes sans authentification, ça devrait le faire (non testé)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SSLCipherSuite SSLv3:TLSv1:aNULL:!aRSA:!aDSS:!aDH

[pasquiel]

Merci pour ta réponse, que j'ai testé mais qui a le même problème: si pas de "SSLCertificateFile" spécifié, alors l'apache ne démarre pas.

Pour citer la rfc 2818 :

In general, HTTP/TLS requests are generated by dereferencing a URI.
As a consequence, the hostname for the server is known to the client.
If the hostname is available, the client MUST check it against the
server's identity as presented in the server's Certificate message,
in order to prevent man-in-the-middle attacks.

Donc on pourrait croire qu'il n'est pas possible si le client connait le hostname, de ne pas avoir de certificat serveur. Sauf que juste en dessous il est précisé:

If the client has external information as to the expected identity of
the server, the hostname check MAY be omitted.

Tout en précisant que cela ouvre les possibilités d'attaque man in the middle.

En fouillant dans différents forums, j'en tire la conclusion que le mod_ssl ne permet pas ce cas de certificateless.
Si toutefois il y a des plus grand experts en la matière pouvant me prouver l'inverse, n'hésitez pas!

[Marc3001]

Je ne suis pas un expert mais j'avais cru lire que ces algo anonymes ne présentent pas de certificat.

Peux-tu essayer avec un fichier vide ou même un vrai certificat en positionnant le paramètre SSLCertificateFile et ensuite vérifier si le serveur présente bien ou non ledit certificat ?

[pasquiel]

Je viens de réessayer, pas sûr de ce qui se passe... "Connexion réinitialisée" dans le navigateur sans présentation de certificat. Bref il est possible que ce soit le navigateur qui bloque.

[_Mac_]

Ce que tu lis de la RFC ne dit pas spécialement que le serveur peut ne pas envoyer de certificat, il est dit que le client n'est pas obligé de vérifier le hostname du serveur sous certaines conditions.