Discussion:WoT-SSL
Vrac
La WoT GPG existe déjà et fonctionne très bien, on pourrait s'en servir assez simplement pour la gestion des certificats. Lorsque l'on génère un certificats X509, on en fait un fichier signé par sa clef, le contenu du certificat est visible en texte clmair, de même que la clef publique utilisée.
La plupart des applications SSL cherchent en fait le texte inclus entre BEGIN X509 PUBLIC CERT et END X509 CERT (ou whatever), on peut docn parfaitelment rajouter des infos au-dessus et au-dessous sans impacter le résultat.
La signature du certificat permet de récupérer la clef publique associée et docn de calculer en utilisant son Web Of Trust le niveau de confiance accordé au certificat. En cas de distrust ou de révocation de la clef, le ertificat suit. Pour changer de certificat, il n'y a pas besoin de réemmetre ceux-ci.
- Signature
$ gpg --clearsign wnh-ca.crt
- Contenu du certificat signé:
$ cat wnh-ca.crt.asc -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 - -----BEGIN CERTIFICATE----- MIIGoTCCBImgAwIBAgIJALL1IFGg0XBWMA0GCSqGSIb3DQEBBAUAMIGRMRIwEAYD VQQKEwlUZWxlY29taXgxDDAKBgNVBAsTA1dOSDEmMCQGCSqGSIb3DQEJARYXdGVs ZWNvbWl4QHRlbGVjb21peC5vcmcxEjAQBgNVBAcTCVRlbGVjb21peDERMA8GA1UE CBMIQW55d2hlcmUxCzAJBgNVBAYTAlhYMREwDwYDVQQDFAgqLnduaC5tZTAeFw0x MTA5MjMxMjA4MThaFw0xMjA5MjIxMjA4MThaMIGRMRIwEAYDVQQKEwlUZWxlY29t aXgxDDAKBgNVBAsTA1dOSDEmMCQGCSqGSIb3DQEJARYXdGVsZWNvbWl4QHRlbGVj b21peC5vcmcxEjAQBgNVBAcTCVRlbGVjb21peDERMA8GA1UECBMIQW55d2hlcmUx CzAJBgNVBAYTAlhYMREwDwYDVQQDFAgqLnduaC5tZTCCAiIwDQYJKoZIhvcNAQEB BQADggIPADCCAgoCggIBANRfGv+7ynHz0uVio7wM5jw3yaHuIf6dlPRzpiKM4MUH QAe0GREXwkaGo5cYzOI2f6nASJWW1iGTJDR6LknRPTyrFTHwUgIY7MUhRzWs9v6I FFaFIYxbuqJ+4iVp7SkHQsYpagPHEElVdJaei5GJoVCChS5psl8P+/98np9P8RtN hOwMDYS/cK/Asg/+sDCJv5zhbkoBUTzZ0b0cAo1cpOu1mAKmlCPsRd2/MPnD5sm5 xp8Djx7PyUlPFZ9I2lffyIq9HWF9jK5FB2ttljKMQldNiNSsl1gNzXHoG9D4zf2u JW58FNWjr0yLNC31/u/KB4m+rnUFOvbkhpd+fliavyq23wJ3Jry5v0EZ5t0WxBRh tM48fsDotHYaPZxgT8Zo0a4Kn4kcIQfp+5q1sRNbwwT1XRTCVNFzZ9nNngoI3uD0 KQbhwq5jNlQkcoqe3qc+kR2yetLtpIABpWX4KdlZPsI1woUKdhEO+OkV1LUg5VWx djoss9MUm570lVuqsACk0aYrkrfjG3xyv1yy1qXNKlZYCs4ecZtDOJOoMLo0LgPC bDb7C/sLVO6NMj18Z/f8MF6/WuNzFVVSBUn+85d/IsmUzkZdwY5PIVkpJho3hI/5 il+L0tt9KO8w6lF0F96Daq5cniqmAEYgjwkLjZ2l2R9MbUSg2NkoUj5EsvFYaMkH AgMBAAGjgfkwgfYwDAYDVR0TBAUwAwEB/zAdBgNVHQ4EFgQUG8Uy/iaEQvU4LytD Vuyo/8lq3ukwgcYGA1UdIwSBvjCBu4AUG8Uy/iaEQvU4LytDVuyo/8lq3umhgZek gZQwgZExEjAQBgNVBAoTCVRlbGVjb21peDEMMAoGA1UECxMDV05IMSYwJAYJKoZI hvcNAQkBFhd0ZWxlY29taXhAdGVsZWNvbWl4Lm9yZzESMBAGA1UEBxMJVGVsZWNv bWl4MREwDwYDVQQIEwhBbnl3aGVyZTELMAkGA1UEBhMCWFgxETAPBgNVBAMUCCou d25oLm1lggkAsvUgUaDRcFYwDQYJKoZIhvcNAQEEBQADggIBAJ5ZZu0GzaBY3nh/ BUV3zjR5qDvkV5jVOwKPrsZC9km90ewHgk336f1EXoHxu5gmmJPDiNB+wJaF3keH ygV+1gcmPxCfRIdxp3DEoC2ZBG6mhcfgKeZjlsQ4CoJ2oyQwtJKrD8cPjXxyZszN 6VzEcNW7ZHi7b9z4nhJOdDx+IrHnRd4+4K+bHAYr8i8V5GPw4fM9XlfRL21ZW8pZ yu7X7uvFcekTYhVhqwh/Tz0fsAZwj3FsLKycUWxNQDn9q5bRLwePRhsXk7zFdNnl eVMjCUyHAh5uIVgutQxcT3vw3q7c50pV45Mn/Q8GKYkgDWGRnsiEHuunz+0uAJ4C LIl4+9KIo577mj22e1LehL8Sq7ysT8LjnaWr4KIfk4k9KxPQDUsl2aEanA2jEVzW 7VGDTrOcvwVZrWICDvE6loo4Jq8db7tbgbMChoZfZixAIp4OKsI0STIDAP/aRxq4 I2XxWU1xhK/e3n0rRk5GsIPCLL46T8s3Ra3q+rcTxu2oY7rpqbql9Nmp8ERxuEaQ frEQNI34wWlH3qoIdzIftlCu/w2V+SvqPCCD23LE4tVdniG2xebydChyL5CJ+wKH tG8WnLsjUjZMsut6zq6aSwUc3d0b1aPWDz2+TfyyE1ZaEcmHmi8dBVNnK1LU9HeS X8Biq1zK7uA5eT9Wm7P+ImoWJYf5 - -----END CERTIFICATE----- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux) iQIcBAEBAgAGBQJO4MiBAAoJEKpfDYQAUTlHSMQP/3fJO3cTJtNMUj1NK3IuhS8q 5CNMXZ8lqhqROTUOk7DAhPIrlS9fDYP/y8MJW2U970mzhFkU+U6RS9q8F9PzAupk ls263MNyrAorSlr3WcvWuH/8Ko60lfSX1GwHRpDZTlYX5gF+iZhhV/Z3R134Pfdl gycmeNJmrT1sdUo7iWl8t95UDnVnihTmaA4tvURM0zIQ6tOSmPLQU+/eRkvvTWk/ g9tLXfW58xiZFERML3gl1H8m/Nx/bx/kbO1hG69V5XwiFzhmResaLRMtlaWRb5Er Txsisi8JYZqJvGHUCDyTHCCmGLdM/vjKzbBDV8n+dlCjtQLJ1o0D3rYV/tOKs5Am 2KShQPLLnp16CTNGdFFNqkjgKufpqjgHurcjPjEbjdSJl7Wfsz1vrTZlKCmf1pV0 5H+kDJGPPoJFqzS3oz7Lf9f7ZVZuyUKO1lrhHSCEH/o4kVX0u7rh2dGFWsOHPyJO b6ggAXhpeF+3GbCbXwZEcLMzFFjf1NA7m4dgKmvKyVEMMCUJE1k5vXxn/GT028mT aabF4yAVoKT/hxnrlMN5SPSIv0l3QnYa7+ledXhspX+4+TfEfE0F91njmOE0bNqh ewENVX6FftXpJdrycvK6eIK8Sz5Z1cFH54NCtZkrTENuwhq0gKSBBCXRY3Y2dHYG QL0Ctk1qfD6WMJnzR50H =tOmu -----END PGP SIGNATURE-----
- vérification
$ gpg --verify wnh-ca.crt.asc gpg: Signature faite le jeu. 08 déc. 2011 15:24:01 CET avec la clé RSA ID 00513947 gpg: Bonne signature de « Okhin (Datalover) <okhin@datalove.me> » gpg: alias « Okhin <okhin@okhin.fr> »
Implémenter le tout dans un navigateur web ne doit pas être complexe, pour peu que le certificat signé soit publié quelque part.
~~ Okhin