Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par  (site web personnel) . Licence CC By‑SA.
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au besoin.

Merci :-)

  • # Probablement pas

    Posté par  . Évalué à 6.

    J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

    Examine ton certificat (openssl x509 -in ton_certificat.pem -noout -text) et regarde s’il contient une extension X509v3 Basic Constraints : si elle contient la valeur CA:FALSE (c’est quasi-certainement le cas), ce certificat ne peut pas servir à en signer d’autres.

    • [^] # Re: Probablement pas

      Posté par  . Évalué à 5. Dernière modification le 09 juin 2015 à 15:46.

      En fait, la solution idéale à ton besoin serait un certificat te permettant d’être une sous-CA techniquement contrainte : un certificat autorisé à signer (et révoquer bien sûr) d’autres certificats, mais uniquement sur ton domaine (tu pourrais signer un certificat pour sous.domaine.tld, mais pas pour www.rienàvoir.tld — ou plus exactement, tu pourrais toujours, mais le certificat résultant ne serait pas considéré valide).

      Malheureusement, même si la possibilité existe (extension X509v3 Name Constraint) et est d’ailleurs mentionné dans les documents du CA/Browser Forum, je me souviens n’avoir pas réussi à trouver d’autorité de certification proposant ce genre de certificat (en même temps, ce n’est pas vraiment leur intérêt…).

      • [^] # Re: Probablement pas

        Posté par  (site web personnel) . Évalué à 1.

        Désolé je viens juste de voir les réponses, dommage qu'il n'y a pas de notifications mail (ou alors c'est moi qui les ai désactivé quelque part, je vais aller voir pour le coup).

        Effectivement j'ai bien le CA:FALSE… dommage. Merci des réponses ! :-)

      • [^] # Re: Probablement pas

        Posté par  (site web personnel) . Évalué à 1.

        Tiens j'y pense, il faudrait peut-être voir du côté de chez LetsEncrypt s'ils envisagent d'activer cette option.

  • # je rebondis pour demander une précision

    Posté par  . Évalué à 1.

    Bonjour,

    J'ai actuellement de mon côté un sous-domaine toto.mondomaine.tld avec un certificat validé par Gandi (c'est un .fr).

    Je souhaite acquérir *.mondomaine.tld, mais au vu de ce thread, cela ne signifiera pas forcément que tous mes sous-domaines soient valides (toto.mondomaine.tld, toto2.mondomaine.tld ne pourront pas utiliser la wildcard) ??

    Enfin, thunderbird couine que mon certif est auto-signé: il est normalement signé par Gandi.

    Cela signifie:
    - que Gandi n'est pas une authorité de certification assez reconnue ?
    - que je n'ai pas pris la bonne option et que je n'ai pas assez allongé pour avoir un bon certificat
    - que je me suis planté lors de la configuration ?

    Merci !

    • [^] # Re: je rebondis pour demander une précision

      Posté par  . Évalué à 2.

      Je souhaite acquérir *.mondomaine.tld, mais au vu de ce thread, cela ne signifiera pas forcément que tous mes sous-domaines soient valides (toto.mondomaine.tld, toto2.mondomaine.tld ne pourront pas utiliser la wildcard) ??

      Si.

      Ce que voulait faire NicolasK, et qui n’est presque certainement pas possible (sauf si son autorité de certification lui a donné un certificat avec une extension X509v3 Basic Constraints CA:TRUEce qui arrive parfois involontairement), c’est pouvoir signer à volonté des certificats pour chacun de ses sous-domaines.

      Mais utiliser le même certificat wildcard pour tous les domaines reste bien sûr possible.

      que Gandi n'est pas une authorité de certification assez reconnue ?

      Gandi, pas forcément, mais Gandi est signée par Comodo, qui l’est généralement.

      que je me suis planté lors de la configuration ?

      Possible. Gandi n’est apparemment pas dans la liste des CA reconnues par Thunderbird (en tout cas pas chez moi). Tu dois donc faire en sorte que ton serveur envoie le certificat de Gandi (qui techniquement est un certficat intermédiaire et non un certificat racine) en plus de ton propre certificat, afin que Thunderbird puisse remonter la chaîne de certification jusqu’à une racine qu’il connaît.

      Comment faire ça dépend de ton logiciel serveur, mais souvent, il suffit de concaténer, dans un seul fichier PEM, ton propre certificat puis le (ou les) certificat(s) intermédiaire(s).

    • [^] # Re: je rebondis pour demander une précision

      Posté par  . Évalué à 1.

      Je souhaite acquérir *.mondomaine.tld, mais au vu de ce thread, cela ne signifiera pas forcément que tous mes sous-domaines soient valides (toto.mondomaine.tld, toto2.mondomaine.tld ne pourront pas utiliser la wildcard) ??

      Si, simplement tu ne pourras que l'utiliser directement. Tu ne pourras pas utiliser ce certificat pour signer d'autres certificats.

      Enfin, thunderbird couine que mon certif est auto-signé: il est normalement signé par Gandi.

      L'erreur classique est l'oubli du certificat intermédiaire : une CA te fournit un certificat mais n'est pas directement reconnue par ton client, en revanche le certificat de la CA est lui-même signé par une CA qui est reconnue. Il faut alors que côté serveur tu présente les deux certificats finaux pour que le client voit la chaine de vérification. Je ne sais pas si c'est le cas pour Gandi.

  • # Exemples

    Posté par  (site web personnel) . Évalué à 4.

    Pour les exemples, inutile d'essayer de composer ses propres noms.de.domaine.bidon, au risque tomber sur des noms qui existent vraiment ou existeront peut-être et d'embêter leurs propriétaires. Il y a des noms d'exemples normalisés : example.com, example.net, example.edu, example.org et .example.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.