Discussion :

[Gluups]

Bonjour tout le monde,

Si je lis bien
Microsoft announces deprecation of 1024-bit RSA keys in Windows,

il va falloir veiller à n'utiliser que des clefs RSA de plus de 2048 octets.

Où est-ce qu'on peut lire les longueurs des clefs qu'on utilise ?

Est-ce qu'on a une clef liée à chaque certificat ?
Dans ce cas c'est à lire dans certmgr.exe j'imagine ?

Est-ce qu'on doit tous défiler chez Orange ouvrir des tickets pour leur demander quand ils vont se mettre à jour ?

Et une question à laquelle je suppose que je peux répondre oui d'entrée de jeu : dans mon certmgr j'ai un certificat Verisign qui expire en 2016, j'imagine que ça ne présente pas d'inconvénient de le supprimer.

[tabouret]

Hello,

Bonjour tout le monde,
Microsoft announces deprecation of 1024-bit RSA keys in Windows,

Microsoft a toujours 200 ans de retard.

il va falloir veiller à n'utiliser que des clefs RSA de plus de 2048 octets.

Prends RSA > 4096 au grand minimum, ca te laissera plus de marge pour plus tard (t'embète pas avec les algorithmes à courbe elliptique)

Est-ce qu'on a une clef liée à chaque certificat
ans ce cas c'est à lire dans certmgr.exe j'imagine ?

Yes le certificat contient la clef publique. Une clef privée est associée à cette clef publique.
Et oui dans la MMC (partie certificat -> certmgr.exe).

Est-ce qu'on doit tous défiler chez Orange ouvrir des tickets pour leur demander quand ils vont se mettre à jour

Comment ça?

dans mon certmgr j'ai un certificat Verisign qui expire en 2016, j'imagine que ça ne présente pas d'inconvénient de le supprimer.

Oui tu peux sans problème.

[Gluups]

Hello,
Merci pour la réactivité.

Bon d'accord, c'est bien de prévoir des clefs plus grandes.
À condition de savoir faire.

Pour chaque certificat il faut s'adresser à l'organisme correspondant ?
Ça fait un moment que ça n'est plus gratuit, c't'affaire-là.

On peut faire des clefs auto-générées, mais ça ça va pour faire un développement, et dans ce contexte avec Visual Studio c'est devenu plus simple, il y a juste une case à cocher pour faire confiance au certificat de développement (l'année dernière c'était largement moins simple).

Je faisais allusion à Orange parce qu'ils se sont déjà illustrés pour être longs à la détente.
Peut-être d'autres aussi, mais je n'en ai pas entendu parler.

[droggo]

Bonjour,

Attention, les tailles de ces clés sont exprimées en bits, et pas en octets.

[tabouret]

Hello,
Pour chaque certificat il faut s'adresser à l'organisme correspondant ?
Ça fait un moment que ça n'est plus gratuit, c't'affaire-là.
On peut faire des clefs auto-générées, mais ça ça va pour faire un développement

Tu me parles bien de certificats serveur web accessible depuis internet? Si c'est le cas oui forcément tu vas devoir payer une autorité (style Digicert) pour signer ton CSR. Mais je me demande quelle autorité acceptait une clef RSA 1024

Les clefs auto-générés ne sont pas du tout que pour le developpement dans le cas d'un usage interne. Chez nous par exemple j'ai implémenté une PKI en interne et on signe tous nos certificats des domaines privés.

Mais pour être accessible depuis internet, oui il te faut un certificat payant, sauf si tu veux passer par lets encrypt auquel cas ce sera gratuit (mais la procédure sera plus complexe)

[Gluups]

Ah oui, tu penses que les clefs de Windows dont on parle dans l'article concernent surtout des sites web ?

Ben, je ne me sens pas vraiment à jour ...

[tabouret]

Ah oui, tu penses que les clefs de Windows dont on parle dans l'article concernent surtout des sites web ?

Yep! c'est l'usage principal des certificats (mais loin d'être le seul, ya aussi le code signing, les subCA...)