[gull] Debian Lenny - Upgrade X.509 - Demande a CACert (ex: Mise a jour de connexion securisee sur un ancien systeme)
Emmanuel Rens
emmanuel.rens at gmail.com
Fri Feb 22 22:06:24 CET 2019
Bonsoir,
> Il est possible que j’interprète de travers ce que tu écris, mais j'ai
> du mal à saisir où tu as importé ce certificat et de quel certificat
> il s'agit.
>
j'ai fait les choses un peu à la hâte et sans pleine compréhension alors
il est bien possible que ce que j'ai téléchargé ne servait à rien:
$ openssl s_client -connect github.com:443 > github.pem < /dev/null
résultat examiné avec :
$ openssl x509 -text -in github.pem
puis chargé dans Iceape, dont le message d'erreur a dès lors changé ( en
quelque chose comme "pas d'algorithmes compatibles").
> J'ai en tête l'exemple de Chrome, qui a longtemps intégré Flash player
> d'Adobe, ce qui lui permettait d'afficher des vidéos dans ce format,
> même sur les systèmes sur lesquels Flash n'avait volontairement pas
> été installé. Évidement, un truc comme ça ne réutilise pas les
> bibliothèques partagées, mais dans ton cas, ce serait un atout.
>
Je pourrais tenter avec Chrome, mais j'avais effectivement essayé de
compiler plusieurs navigateurs avant d'écrire à la liste; j'ai été
confronté à de nombreuses difficultés avec les bibliothèques partagées
qui rendaient la compilation bien trop lourde en préparation.
> X.509 n'est pas à proprement parler une méthode de chiffrement, mais
> plutôt une infrastructure à clé publique, c'est à dire un ensemble de
> standards techniques permettant à des applications hétéroclites
> d'établir entre elles des canaux de communication sûrs, parce qu'elles
> s'échangent de la même manière des certificats. X.509 définit
> strictement la structure des certificats, mais laisse le choix des
> algorithmes utilisés pour signer et chiffrer; quand aux protocoles de
> communication eux-même (SSL, TLS), à ma connaissance, ils ne sont pas
> définis par X.509, mais plutôt utilisent X.509.
>
Oui j'avais au moins saisi qu'il s'agit plutôt d'une méthode de
validation que de cryptage, le raccourci est effectivement fallacieux.
En tout cas je te remercie encore pour l'éclairage; hormis une dernière
tentative avec Chrome, je ne vais pas m'obstiner, j'aurais simplement
voulu une solution ne requérant pas trop d'expertise pour jouer un peu
avec Lenny. Si j'avais quelque chose à reprocher aux systèmes actuels de
toute façon ce serait plutôt la norme EFI, qui ôte à mon avis beaucoup
de la maniabilité de Linux, et non pas les schémas de sécurité. Mais on
entre là dans une toute autre discussion qui touche aussi le hardware.
C'était mieux avant!
Bonne soirée
More information about the gull
mailing list