Discussion :

[boboss123]

Bonjour,

Est-ce que dans le HTTPS, il y a des mécaniques qui permettent d'authentifier des clients (ne donner l'accès qu'à des machines dont la signature est reconnue) ? Si la réponse est oui, comment s’appel le mécanisme et comment fonctionne t-il ? Est-ce qu'il y a une RFC associée ?
C'est le serveur qui génère les signatures à installer sur les clients ou c'est les clients qui doivent générer leur signature et l'enregistrer sur le serveur ?
La signature a une date de péremption ? ... risque de ne plus avoir accès au serveur si on oublie de la regénérer ?

Merci d'avance

[Invité]

Bonjour,

Est-ce que dans le HTTPS, il y a des mécaniques qui permettent d'authentifier des clients (ne donner l'accès qu'à des machines dont la signature est reconnue) ? Si la réponse est oui, comment s’appel le mécanisme et comment fonctionne t-il ? Est-ce qu'il y a une RFC associée ?
C'est le serveur qui génère les signatures à installer sur les clients ou c'est les clients qui doivent générer leur signature et l'enregistrer sur le serveur ?
La signature a une date de péremption ? ... risque de ne plus avoir accès au serveur si on oublie de la regénérer ?

Merci d'avance

Salut,

peut-être la RFC8120

https://tools.ietf.org/html/rfc8120

Elle est expérimentale et récente mais à voir la cinématique des paquets paragraphe 2.2, ça devrait t'intéresser...

-VX

[boboss123]

merci, je vais regarder ça de plus pres

[fredoche]

En HTTPS, comme de manière générale, on parle de PKI et on peut utiliser une certification à la norme X.509 qui authentifie, par le biais de tiers de confiance, à la fois les machines (le serveur par exemple) mais aussi les utilisateurs.

En principe tous les serveurs HTTP sont compatibles avec cette norme, qui existe depuis bien longtemps

[boboss123]

ok merci