Lokomass Posté(e) le 2 mai 2015 Partager Posté(e) le 2 mai 2015 Bonjour à tous. Je suis en train de pencher sur l'authentification en https pour mes utilisateurs. J'ai donc vu qu'il fallait un certificat https et certains sites en proposent des gratuits... Est ce possible d'utiliser celui de synology et comment ? Sinon comment en mettre en place un autre ? Merci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
domlas Posté(e) le 2 mai 2015 Partager Posté(e) le 2 mai 2015 Première question : pourquoi du https:// Tes données sont sensibles à ce point ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 2 mai 2015 Partager Posté(e) le 2 mai 2015 (modifié) ne serait-ce que pour le login des user, il est tout a fait normal de présenter un certificat https valide ! également pour des raisons de meilleures indexations car googlepositionne mieux un site en https qu'un site en http (et ca ne fera que s'accentuer dans le futur) : http://googlewebmastercentral.blogspot.be/2014/08/https-as-ranking-signal.html perso, mon site est Full HTTPS, et cela permet egalement d'accelerer les requete multiple avec SPDY, qui fonctionne que avec le https, en attendant le support du http/2.0 par apache Pour en revenir à la question : les seuls certificats gratuit valide sont de startssl.com autrement, faut payer une somme parfois consequente pour rien de plus chez les autres dans tous les cas, il faut etre propriétaire d'un nom de domaine pour le faire ce qui est payant sauf un .tk (d'autre p-e aussi, mais en général, c'est payant, la gratuitté est rare) Modifié le 2 mai 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Didier_Csu Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 Bonjour Gaétan, A ce sujet, j'ai une question. DSM précise qu'à compter de 2017 les certificats SSL basés sur SHA-1 seront "obsolètes". A court terme, i faudrait passer au minimum au SHA-2 A ma connaissance, les certificats gratuits proposés par StatSSL sont dits de Classe 1. Y-a-t-il un rapport entre la classe et la version de SHA? Autrement dit, pourra-t-on à terme avoir un certificat gratuit en SHA-2? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 la classe, c'est un peu le niveau de verification qu'il ont fait avant de t'attribuer un certificat classe 1 = verif sur base une email uniquement (webmaster@domain.tld ou postmaster@domain.tld) (gratuit) classe 2 et 3, ils demande des document officiel en + pour avoir ton identité (c'est détaillé sur le site de startssl.com, j'ai jamais fait super attention, ses certificat ne m'interessent pas particulierement) (payant car demande un traitement supplémentaire) a coté de cela, lorsque tu crée ton certificat, independemment de la classe, tu as 2 paramètre à choisir : la longueur de la clé rsa (2048, 3072, 4096) de nos jours, 2048 devient considérer comme un peu limite la signature du certificat (sha1 ou sha256 (sha2)) de nos jour sha1 a été deprécié, --> sha256 il y a pas le choix toute ses option etait deja présente chez startssl l'année passée en juin (lorsque je recréer mes certificat) la seul chose qui manque chez startssl, c'est les certificats Elliptic Curve, on espère qu'il vont se bouger un peu pour le mettre en place 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Didier_Csu Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 Merci pour tes explications. J'avoue que je n'ai pas encore utilisé startssl. Plus exactement je n'avais visiblement pas compris la procédure lorsque j'ai essayé l'an dernier. Pris par autre chose j'ai abandonné. Je me contente donc actuellement du certificat auto-signé fourni par Synology que j'avais crée lors de l'installation de mon NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Didier_Csu Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 Je viens de lire sur ton site l'article de création d'un certificat ECC autosigné. Je me suis amusé à essayer et...j'y suis arrivé (openssl pour windows + Cmder). Étonnant non ? Un tel certificat est-il utilisable pour mon Nas? Suffit-il de l'importer via le DSM? Le fait d'être auto-signé est-il "limitant" ? Quelle différence avec ceux signés par StarSSL ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 (modifié) la seul différence entre un certificat signé et auto-signé, c'est la chaine de confiance un certificat auto-signé, se fait confiance à lui meme et n'est pas reconnu par les navigateur comme fiable un certificat signé par startssl, est reconnu de confiance par startssl et par extention la plupart des navigateur t'assure qu'il est fiable donc, ca dépend, si c'est juste pour toi, c'est pas très grave que le certificat soit auto-signé, tu lui fera confiance si tu ouvre un site avec https comme (j'ai fait par exemple), il vaut mieux avoir un certificat reconnu juste pour que tes visiteurs continue leur visite sans avoir d'allerte de leur navigateur autrement au niveau cryptage, il y a rien qui change edit, j'allais oublie une question : je viens de tester dans le dsm, il semble qu'il n'aime pas ses certificat :s comme j'utilise haproxy en reverse proxy, c'est ce dernier qui gere le https et lui, aucun problème Modifié le 7 mai 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Didier_Csu Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 Merci pour ces explications claires Oh Maître! Dans ton "edit", tu parles du certificat ECC qui n'est pas accepté par DSM ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 ben oui, j'ai tester un certificat ecc, il me repond "cle invalide" :s faut croire que syno est encore à la traine sur ce sujet 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Didier_Csu Posté(e) le 7 mai 2015 Partager Posté(e) le 7 mai 2015 (modifié) OK, ben il me restera à retourner voir StartSSL. Merci encore. Modifié le 7 mai 2015 par Didier_Csu 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.