Outils pour utilisateurs

Outils du site


net-sys:secu:my_cert

Mes services en TLS

Si vous souhaitez profiter du HTTPS sur mon site web et sur le blog, voire du TLS sur le serveur mail de manière propre, vous pouvez directement importer dans firefox et thunderbird le certificat racine que j'utilise pour signer les certificats sur mon domaine. Cela vous évitera d'avoir plusieurs certificats à importer d'une part, et cela me permet de mettre mes certificats à jour voire d'en ajouter pour de nouveaux sous-domaines sans que vous n'ayez rien à faire d'autre part.

Import du certificat

Après avoir téléchargé le fichier .crt, allez dans Firefox, dans les préférences et ouvrez avancécertificatsafficher les certificatsautorités et cliquez sur le bouton Importer. La procédure est identique pour Thunderbird.

Si vous utilisez MS Windows, vous pouvez ensuite directement double-cliquer sur le fichier de certificat et accepter l'invite vous proposant de l'importer dans le Magasin système.

Sous GNU/Linux, vous pouvez intégrer le certificat dans le magasin openssl système. Pour cela, il faut calculer son hash openssl puis créer un symlink nommé d'après lui (à faire en root) :

cd /etc/ssl/certs/
mv <emplacement du certificat> ./
ln -sv art-software.crt $(openssl x509 -noout -hash -in art-software.crt).0

Et normalement cela devrait être bon.

Le hash doit impérativement correspondre au contenu du fichier crt vers lequel le lien pointe, sans quoi OpenSSL ne verra même pas le certificat dans son magasin (il les référence par leur hash)

Pourquoi un certificat personnel au lieu d'un CA ?

  • Ça coûte une fortune ;
  • Je suis un particulier, et pas une vraie entreprise, je veux protéger mes accès à mes services, de manière sûre pour moi principalement, ainsi que mes proches ;
  • Let's encrypt permet d'avoir un certificat gratuitement certes, mais :
    • Il faut installer un programme exprès ;
    • Cela n'est pas utilisable simplement pour tous les usages normaux d'un certificat (il faut configurer le bot de let's encrypt et c'est casse-pieds à faire)
    • Les certificats sont donnés sans aucune vérification, or c'est justement l'intérêt d'un CA. Je ne veux pas d'un certificat facilement remplaçable par un autre valide obtenable facilement par n'importe qui voulant faire du MitM1)

Donc pour moi avoir mon propre CA est bien plus pratique, sûr et moins coûteux.

À garder dans un coin

1) Man in the middle, voir ici
net-sys/secu/my_cert.txt · Dernière modification: 2016-11-25 13:48 par 109.190.244.9