IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

mod ssl sans présentation de certificat par le serveur


Sujet :

Apache

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    15
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 15
    Par défaut mod ssl sans présentation de certificat par le serveur
    Bonjour,

    Jusqu'à présent, j'ai sécurisé mes serveurs apache avec une authentification forte par certificat.
    Toutefois le protocole SSL pendant le handshake stipule que l'on peut parfaitement faire l’échange de clés secrètes sans que le serveur ou le client ne présentent de certificat. Je souhaite me placer dans ce cas, ne profitant que de l'encryptage du flux.


    Seulement j'ai l'impression que le mod_ssl rend le paramètre SSLCertificateFile obligatoire. Est-ce le cas? Est-il possible de configurer un mod_ssl sans certificat serveur?

  2. #2
    Membre Expert Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2008
    Messages
    829
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Février 2008
    Messages : 829
    Par défaut
    J'ai pas trouvé grand chose concernant du HTTPS certificateless.

    Je pense qu'en activant uniquement les algorithmes sans authentification, ça devrait le faire (non testé)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SSLCipherSuite SSLv3:TLSv1:aNULL:!aRSA:!aDSS:!aDH

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    15
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 15
    Par défaut
    Merci pour ta réponse, que j'ai testé mais qui a le même problème: si pas de "SSLCertificateFile" spécifié, alors l'apache ne démarre pas.

    Pour citer la rfc 2818 :
    In general, HTTP/TLS requests are generated by dereferencing a URI.
    As a consequence, the hostname for the server is known to the client.
    If the hostname is available, the client MUST check it against the
    server's identity as presented in the server's Certificate message,
    in order to prevent man-in-the-middle attacks.
    Donc on pourrait croire qu'il n'est pas possible si le client connait le hostname, de ne pas avoir de certificat serveur. Sauf que juste en dessous il est précisé:
    If the client has external information as to the expected identity of
    the server, the hostname check MAY be omitted.
    Tout en précisant que cela ouvre les possibilités d'attaque man in the middle.

    En fouillant dans différents forums, j'en tire la conclusion que le mod_ssl ne permet pas ce cas de certificateless.
    Si toutefois il y a des plus grand experts en la matière pouvant me prouver l'inverse, n'hésitez pas!

  4. #4
    Membre Expert Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2008
    Messages
    829
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Février 2008
    Messages : 829
    Par défaut
    Je ne suis pas un expert mais j'avais cru lire que ces algo anonymes ne présentent pas de certificat.

    Peux-tu essayer avec un fichier vide ou même un vrai certificat en positionnant le paramètre SSLCertificateFile et ensuite vérifier si le serveur présente bien ou non ledit certificat ?

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    15
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 15
    Par défaut
    Je viens de réessayer, pas sûr de ce qui se passe... "Connexion réinitialisée" dans le navigateur sans présentation de certificat. Bref il est possible que ce soit le navigateur qui bloque.

  6. #6
    Rédacteur
    Avatar de _Mac_
    Profil pro
    Inscrit en
    Août 2005
    Messages
    9 601
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2005
    Messages : 9 601
    Par défaut
    Ce que tu lis de la RFC ne dit pas spécialement que le serveur peut ne pas envoyer de certificat, il est dit que le client n'est pas obligé de vérifier le hostname du serveur sous certaines conditions.

Discussions similaires

  1. [HTML] Mailto sans passer par un serveur de messagerie de Outlook
    Par Siguillaume dans le forum Balisage (X)HTML et validation W3C
    Réponses: 16
    Dernier message: 15/04/2008, 18h37
  2. Réponses: 4
    Dernier message: 31/10/2007, 16h40
  3. Mod SSL apache
    Par nylsax dans le forum Apache
    Réponses: 6
    Dernier message: 24/05/2007, 10h46
  4. Apache 2 / Windows - MOD SSL
    Par killuminati dans le forum Apache
    Réponses: 2
    Dernier message: 18/05/2006, 16h36
  5. [SSL] Existence d'un certificat
    Par NR dans le forum ASP
    Réponses: 10
    Dernier message: 24/01/2006, 11h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo