[gull] Debian Lenny - Upgrade X.509 - Demande a CACert (ex: Mise a jour de connexion securisee sur un ancien systeme)

Emmanuel Rens emmanuel.rens at gmail.com
Fri Feb 22 22:06:24 CET 2019 

Bonsoir,

> Il est possible que j’interprète de travers ce que tu écris, mais j'ai 
> du mal à saisir où tu as importé ce certificat et de quel certificat 
> il s'agit.
>
j'ai fait les choses un peu à la hâte et sans pleine compréhension alors 
il est bien possible que ce que j'ai téléchargé ne servait à rien:

$  openssl s_client -connect github.com:443 > github.pem < /dev/null

résultat examiné avec :

$ openssl x509 -text -in github.pem

puis chargé dans Iceape, dont le message d'erreur a dès lors changé ( en 
quelque chose comme "pas d'algorithmes compatibles").


> J'ai en tête l'exemple de Chrome, qui a longtemps intégré Flash player 
> d'Adobe, ce qui lui permettait d'afficher des vidéos dans ce format, 
> même sur les systèmes sur lesquels Flash n'avait volontairement pas 
> été installé. Évidement, un truc comme ça ne réutilise pas les 
> bibliothèques partagées, mais dans ton cas, ce serait un atout.
>
Je pourrais tenter avec Chrome, mais j'avais effectivement essayé de 
compiler plusieurs navigateurs avant d'écrire à la liste; j'ai été 
confronté à de nombreuses difficultés avec les bibliothèques partagées 
qui rendaient la compilation bien trop lourde en préparation.


> X.509 n'est pas à proprement parler une méthode de chiffrement, mais 
> plutôt une infrastructure à clé publique, c'est à dire un ensemble de 
> standards techniques permettant à des applications hétéroclites 
> d'établir entre elles des canaux de communication sûrs, parce qu'elles 
> s'échangent de la même manière des certificats. X.509 définit 
> strictement la structure des certificats, mais laisse le choix des 
> algorithmes utilisés pour signer et chiffrer; quand aux protocoles de 
> communication eux-même (SSL, TLS), à ma connaissance, ils ne sont pas 
> définis par X.509, mais plutôt utilisent X.509.
>
Oui j'avais au moins saisi qu'il s'agit plutôt d'une méthode de 
validation que de cryptage, le raccourci est effectivement fallacieux.

En tout cas je te remercie encore pour l'éclairage; hormis une dernière 
tentative avec Chrome, je ne vais pas m'obstiner, j'aurais simplement 
voulu une solution ne requérant pas trop d'expertise pour jouer un peu 
avec Lenny. Si j'avais quelque chose à reprocher aux systèmes actuels de 
toute façon ce serait plutôt la norme EFI, qui ôte à mon avis beaucoup 
de la maniabilité de Linux, et non pas les schémas de sécurité. Mais on 
entre là dans une toute autre discussion qui touche aussi le hardware. 
C'était mieux avant!

Bonne soirée

More information about the gull mailing list