API-Geek.com

vous êtes les meilleurs

'soir tt le monde

voila tt est prêt de mon cote pour lancer les premiers tests live ... la CA n'attend plus que d'émettre vos premiers certificats SSL!

alors pour commencer histoire de vous habituer au truc et de faire simple on va juste commencer avec une CA de test et je vais vous faire des certif SSL et S/MIME de class 1 donc avec juste une validation domaine / mail en fonction du certif émis ...

comme ça ça vous permettra déjà de voir comment tt ça marche ds la vie de ts les jours ... mails, serveur web, ftp, NAS ...
et ca me permetra aussi de voir le nombre de certificats que je vais devoir émettre ...

ds un premier temps je devrai pouvoir aller jusque 500 certificats sans trop de prob avec le matos que j'ai déjà ...
au delà les solutions logiciel et matériel que j'utilise actuellement ne seront plus suffisante et il faudra que je passe par un HSM ( Hardware Security Module ) pour garantir la totale intégrité des clefs root de la CA
histoire de vous donnez une petite idée je viens d'avoir le tarifs d'un HSM ... 13200€ HTVA pour le "petit" module o_O; ...

bon alors comment on va procéder ?

- vous me faite une demande de certif SSL et / ou S/MIME
ds cette demande il me faut simplement le mail et / ou le nom de domaine que vous voulez sécuriser

- je vous envoie par mail un code de validation
( je n'ai pas accès a ce code il est généré de façons aléatoire par la PKI lors de son envoie par mail )
pour un mail : sur l'adresse mail que vous voulez sécuriser
pour un nom de domaine : sur l'adresse mail de l'admin du domaine

- vous me communiquez votre code de validation

- je le valide sur la PKI

- vous m'envoyez votre demande de signature de certificat

- je la signe et je vous retourne votre certificat

vous voila enfin sécurisé !!!!

j’espère avoir été clair ds mes explications ... n'hésitez pas si vous avez des questions !!

salut les amis,
ce projet m'en rappelle des autres..
Une petite question,
vu que vous avez accés à toutes les clés de sécurité cryptées ,
vous aurez aussi accés aux données de nos serveur via SSL ou FTP ?
Merci

salut tonio

non on parle d'une vrai PKI et CA
donc en aucun cas et en aucun moment nous n'avons accès a vos clefs privées
- pcq vous générez vous même vos clef privée avec openssl ou tt autre système
- pcq vous ne devez jamais les donner a personne et que vous êtes donc les seul a avoir accès a vos clefs privées

de notre coté nous nous occupons :
de toute la partie public :
- validation et émission de vos certificats
- gestion des certificats : renouvellement, révocation, émission des listes de révocation etc etc ...

la partie privée de la PKI :
- gestion de l'infrastructure logiciel et matériel de la PKI
- validation de vos demandes
- émission de nos certificats root et subroot
- protection de nos clef privée root et subroot ( ce sont les clefs servant a signer et valider l'authenticité de vos certificats )
etc etc ...

donc la contrairement a toutes les solutions farfelues que l'on trouve partout ou les clef privée sont gérées et conservées par dieux sais qui ...
ici vous avez la certitude d’être les seul a avoir ces fameuses clefs prives !!!
et en plus la double sécurité de savoir que si ya le moindre soucis online avec un certificats notre CA vous informera instantanément du soucis ce qui évite pas mal de problèmes

j’espère avoir été suffisamment clair ... sinon n’hésite surtout pas a me poser tes questions

je met online a l'instant meme la CA de test ... si tu veux des certif mail ou ssl pour tester le truc ya aucun soucis y suffit de demander ^_-

Salut Onik et chapeau pour toutes ces explications.
C'est assez clair mais j'ai tout de même quelques petites questions.

Si je comprend bien, pour le moment, cela ne sécuriserait que l'accès à un compte mail ou à un site web appartenant à la personne en possession des clés.
C'est ça?

J'imagine que, côté sécurisation des mails, il faut utiliser un client mail style outlook ou thunderbird pour pouvoir y insérer les clés, non?
Pour ma part, je me connecte sur des sites comme hotmail ou yahoo pour lire mes mails et en envoyer, je suppose que ça n'est pas méthode à employer
pour que tes explications puissent être mise en application.

En fait, je comprend la partie théorique mais j'ai du mal à voir comment cela s'articule concrètement.

salut vince_est

non ce n'est pas exactement ca ... pour faire simple

sur un serveur ( web, ftp, NAS .... )
ton certificat ssl et ta clef privée sont installés directement sur le serveur en question et donc sécurisent toute connections effectuée dessus par un client ( explorateur web, ftp ... )
du cote client le certificat public de notre CA confirme que le serveur ou tu te trouve ne présente aucun problème ... donc tt le monde peur y avoir accès de façons sécurisée ...
la clef sur ton serveur chiffre tout et notre certificat sur le pc client confirme que tt est ok

pour les mails alors la oui ... webmail il ne faut surtout pas prononcer ce mot devant moi LOL surtout pas les hotmail etc
donc oui pour utiliser un certificat S/MIME il te faut juste un simple client mail style windows live mail, outlook ou thunderbird ...etc etc
de tt façons tu ne peux pas utiliser un certif sur une webmail ...

alors un petit exemple concret avec en base un cas courant que je viens encore de voir ya qq jours :

t'as un NAS chez toi et dessus t'as mis un site web perso ou autre chose online et tu veux y donner accès a tes potes, ta famille etc ...
tu leur envoie par mail l'adresse de ton serveur et un login/mdp

un petit malin est sur le serveur ou ton mail est passé en transit ... comme il est en clair au passage il en profite
de un pour le lire et récupérer tes adresses de serveurs les login, mdp, adresses mail des destinataires de ton message et toutes autres infos susceptible de pouvoir lui être utiles ...
de deux il modifie le contenu de ton mail et change l'adresse de ton serveur par une autre avec un virus histoire de contaminer ts les destinataires de ton mail qui d'office cliquerons sur le lien vu que le mail est supposé venir de toi ... en plus tu leurs a dit un peu avant que tu leur enverrai un mail avec le lien et leur login ...
tt tes potes et famille se retrouvent contaminés ... pire le virus se propage via leur pc sur ts les mail de leur carnet d’adresse et ainsi de suite ...
de ton cote le petit malin pompe tout le contenu de ton serveur pcq il est dessus et a choppe tes login admin quand tu t'es connecte dessus et pour bien te donner des envies de suicide il te la fait a l’envers et te contamine aussi ton serveur et tes pc

avec certificats SSL et S/MIME ça ne serai jamais arrivé !
les mails auraient tous étés signés et chiffrés ... il aurais été impossible de les modifier ou de les lire ...
niveau serveur personne n'aurais pu voler les logins admin quand il c'est connecté dessus vu que tt aurai été chiffré
et en cas prob il y aurai u une erreur expliquant le soucis ...

encore une fois j’espère avoir été suffisamment clair ... sinon n’hésite surtout pas a me poser tes questions

Salut onik

Sur un serveur vps on accède webinf avec un ip qui nous a était fourni puis en rentre user et MDP , comment fait on pour le sécuriser avec votre nouveau système

Merci

hello thierry89

il faut voir sur ton vps si tu as la possibilité d'activer la liaison ssl ( option surement payante car il te faut une ip fixe et dédiée pour ça )
il te faut aussi un nom de domaine pour ton vps ... le certificat sera émis pour ce nom de domaine

Je t avoue que la je suis perdu , si je crée un domaine , quand je vais connecter au webif , ça sera toujours en tapant l ip du vps? Aider moi merci

non la est tout l’intérêt d'un nom de domaine ... ton nom de domaine étant lié a l'ip de ton vps c'est son url que tu tapes ds la barre d'adresse pour te connecter sur ton vps et plus l'ip
et de la avec un nom de domaine vu qu'il est a toi on peu te faire une certificat SSL

et pour aller plus loin encore si t'as accès a la config apache ssl ... tu pourrais même faire de la double authentification avec un certificat S/MIME
donc la avec ça en plus de ton login et mot de passe le serveur te demandera de confirme que t bien toi en lui présentant ton certificat d'authentification ( il est installé sur ton pc ) donc même si on arrive par divers moyen a casser ton login et mdp bin il sera quand même impossible de se connecter vu ki auront pas ton certificat d'authentification !

voili voila ... et n'hésite surtout pas a me poser tes questions