Discussion :

[johnlamericain]

Bonjour,

Je suis sur une phase de déploiement d'une application client / serveur avec la mise en place d'une Socket sécurisée entre les deux. L'échange entre le client et le serveur fonctionne en crypté avec des certificats pour le client et le serveur auto-signés et non validés par une CA. J'ai pas mal lu sur le sujet mais des questions me reste en suspens.

Je suis à la recherche d'une autorité de certification permettant de procurer des certificats de confiances pour la communication entre notre serveur et notre client. La plus part de offres proposent surtout de sécurisé un nom de domaine pour une connexion en HTTPS, mais peu parle d'application client/serveur.

Mes questions :

1. Dois-je avoir un nom de domaine associé au serveur qui contient l'application pour que cela marche ?
2. Est-il nécessaire de faire une certifications croisé du client et du serveur ? (j'imagine que oui)
3. Si le serveur certifie l'application cliente, est-il sûr d'avoir un même certificat pour tous les clients qui se connecterons au serveur ? (je ne vois pas comment mettre en place autant de certificats que d'applications utilisés).

Si vous avez également des conseils sur une autorité de certification compétente ? Je pense à Gandi car on a aussi des noms de domaines là bas, nos serveurs sont chez OVH mais je pense pas qu'il le font, et j'ai regardé OpenTrust également.

Merci pour votre aide,

[fredoche]

1) ton application va fonctionner en https ? si oui, si tu fais appel à un serveur httpd classique, alors oui il est convenable de certifier le nom de domaine de ta machine.
2) en PKI, oui. Cependant les certificats n'ont pas besoin des mêmes fournisseurs ou CA.
3) n'en sachant guère sur ton appli, qu'est ce qu'une application cliente pour toi ? en principe les certifications ne concernent pas des applications. On certifie des noms de domaines d'une part, donc quelque part des machines, mais il y a à dire sur ce sujet... et on certifie en principe des personnes. Un autorité de certification (tiers de confiance) garantit que le certificat délivré l'a été à une personne dont on a vérifié l'identité, la qualité, l'employeur... C'est ensuite à cette personne de s'assurer que ce certificat ne puisse être utilisé par une personne autre.

Et donc on délivre un certificat différent par personne... pour ton cas probablement un par application cliente. Sinon je dirais que cela ne sert à rien d'avoir juste 2 certificats, un pour le serveur et un seul pour les applications. Si jamais ce dernier est compromis, tu devras renouveler ce certificat pour tous les clients. De même à l'expiration.

Tu peux très bien faire une CA racine, qui délivrera des certificats pour tes domaines et tes clients. Avec des outils comme les serveurs httpd et les navigateurs, tu devras truster cette autorité racine pour que cela fonctionne, mais c'est le seul obstacle il me semble.

Pour les certificats clients pour ma part je fais appel à TBS--internet http://www.tbs-certificats.com/compa...il_pdf.html.fr
Leur rôle est pour moi celui de tiers de confiance, et ils gèrent tout le processus de demande et de vérification auprès des clients. Attention c'est une vraie procédure, rigoureuse, et donc pas souple du tout, étant donné qu'ils engagent leur responsabilité et que ces procédures peuvent être auditées