Discussion:WoT-SSL : Différence entre versions

De Nicelab
Aller à : navigation, rechercher
(Utilisation d'un certificat signé par gpg)
 
m (a déplacé Discussion:Projet:WoT-SSL vers Discussion:WoT-SSL : Simplification du titre)
 
(Aucune différence)

Version actuelle en date du 22 novembre 2013 à 15:09

Vrac

La WoT GPG existe déjà et fonctionne très bien, on pourrait s'en servir assez simplement pour la gestion des certificats. Lorsque l'on génère un certificats X509, on en fait un fichier signé par sa clef, le contenu du certificat est visible en texte clmair, de même que la clef publique utilisée.

La plupart des applications SSL cherchent en fait le texte inclus entre BEGIN X509 PUBLIC CERT et END X509 CERT (ou whatever), on peut docn parfaitelment rajouter des infos au-dessus et au-dessous sans impacter le résultat.

La signature du certificat permet de récupérer la clef publique associée et docn de calculer en utilisant son Web Of Trust le niveau de confiance accordé au certificat. En cas de distrust ou de révocation de la clef, le ertificat suit. Pour changer de certificat, il n'y a pas besoin de réemmetre ceux-ci.

  • Signature
 $ gpg --clearsign wnh-ca.crt
  • Contenu du certificat signé:
 $ cat wnh-ca.crt.asc 
 -----BEGIN PGP SIGNED MESSAGE-----
 Hash: SHA1
 
 - -----BEGIN CERTIFICATE-----
 MIIGoTCCBImgAwIBAgIJALL1IFGg0XBWMA0GCSqGSIb3DQEBBAUAMIGRMRIwEAYD
 VQQKEwlUZWxlY29taXgxDDAKBgNVBAsTA1dOSDEmMCQGCSqGSIb3DQEJARYXdGVs
 ZWNvbWl4QHRlbGVjb21peC5vcmcxEjAQBgNVBAcTCVRlbGVjb21peDERMA8GA1UE
 CBMIQW55d2hlcmUxCzAJBgNVBAYTAlhYMREwDwYDVQQDFAgqLnduaC5tZTAeFw0x
 MTA5MjMxMjA4MThaFw0xMjA5MjIxMjA4MThaMIGRMRIwEAYDVQQKEwlUZWxlY29t
 aXgxDDAKBgNVBAsTA1dOSDEmMCQGCSqGSIb3DQEJARYXdGVsZWNvbWl4QHRlbGVj
 b21peC5vcmcxEjAQBgNVBAcTCVRlbGVjb21peDERMA8GA1UECBMIQW55d2hlcmUx
 CzAJBgNVBAYTAlhYMREwDwYDVQQDFAgqLnduaC5tZTCCAiIwDQYJKoZIhvcNAQEB
 BQADggIPADCCAgoCggIBANRfGv+7ynHz0uVio7wM5jw3yaHuIf6dlPRzpiKM4MUH
 QAe0GREXwkaGo5cYzOI2f6nASJWW1iGTJDR6LknRPTyrFTHwUgIY7MUhRzWs9v6I
 FFaFIYxbuqJ+4iVp7SkHQsYpagPHEElVdJaei5GJoVCChS5psl8P+/98np9P8RtN
 hOwMDYS/cK/Asg/+sDCJv5zhbkoBUTzZ0b0cAo1cpOu1mAKmlCPsRd2/MPnD5sm5
 xp8Djx7PyUlPFZ9I2lffyIq9HWF9jK5FB2ttljKMQldNiNSsl1gNzXHoG9D4zf2u
 JW58FNWjr0yLNC31/u/KB4m+rnUFOvbkhpd+fliavyq23wJ3Jry5v0EZ5t0WxBRh
 tM48fsDotHYaPZxgT8Zo0a4Kn4kcIQfp+5q1sRNbwwT1XRTCVNFzZ9nNngoI3uD0
 KQbhwq5jNlQkcoqe3qc+kR2yetLtpIABpWX4KdlZPsI1woUKdhEO+OkV1LUg5VWx
 djoss9MUm570lVuqsACk0aYrkrfjG3xyv1yy1qXNKlZYCs4ecZtDOJOoMLo0LgPC
 bDb7C/sLVO6NMj18Z/f8MF6/WuNzFVVSBUn+85d/IsmUzkZdwY5PIVkpJho3hI/5
 il+L0tt9KO8w6lF0F96Daq5cniqmAEYgjwkLjZ2l2R9MbUSg2NkoUj5EsvFYaMkH
 AgMBAAGjgfkwgfYwDAYDVR0TBAUwAwEB/zAdBgNVHQ4EFgQUG8Uy/iaEQvU4LytD
 Vuyo/8lq3ukwgcYGA1UdIwSBvjCBu4AUG8Uy/iaEQvU4LytDVuyo/8lq3umhgZek
 gZQwgZExEjAQBgNVBAoTCVRlbGVjb21peDEMMAoGA1UECxMDV05IMSYwJAYJKoZI
 hvcNAQkBFhd0ZWxlY29taXhAdGVsZWNvbWl4Lm9yZzESMBAGA1UEBxMJVGVsZWNv
 bWl4MREwDwYDVQQIEwhBbnl3aGVyZTELMAkGA1UEBhMCWFgxETAPBgNVBAMUCCou
 d25oLm1lggkAsvUgUaDRcFYwDQYJKoZIhvcNAQEEBQADggIBAJ5ZZu0GzaBY3nh/
 BUV3zjR5qDvkV5jVOwKPrsZC9km90ewHgk336f1EXoHxu5gmmJPDiNB+wJaF3keH
 ygV+1gcmPxCfRIdxp3DEoC2ZBG6mhcfgKeZjlsQ4CoJ2oyQwtJKrD8cPjXxyZszN
 6VzEcNW7ZHi7b9z4nhJOdDx+IrHnRd4+4K+bHAYr8i8V5GPw4fM9XlfRL21ZW8pZ
 yu7X7uvFcekTYhVhqwh/Tz0fsAZwj3FsLKycUWxNQDn9q5bRLwePRhsXk7zFdNnl
 eVMjCUyHAh5uIVgutQxcT3vw3q7c50pV45Mn/Q8GKYkgDWGRnsiEHuunz+0uAJ4C
 LIl4+9KIo577mj22e1LehL8Sq7ysT8LjnaWr4KIfk4k9KxPQDUsl2aEanA2jEVzW
 7VGDTrOcvwVZrWICDvE6loo4Jq8db7tbgbMChoZfZixAIp4OKsI0STIDAP/aRxq4
 I2XxWU1xhK/e3n0rRk5GsIPCLL46T8s3Ra3q+rcTxu2oY7rpqbql9Nmp8ERxuEaQ
 frEQNI34wWlH3qoIdzIftlCu/w2V+SvqPCCD23LE4tVdniG2xebydChyL5CJ+wKH
 tG8WnLsjUjZMsut6zq6aSwUc3d0b1aPWDz2+TfyyE1ZaEcmHmi8dBVNnK1LU9HeS
 X8Biq1zK7uA5eT9Wm7P+ImoWJYf5
 - -----END CERTIFICATE-----
 -----BEGIN PGP SIGNATURE-----
 Version: GnuPG v1.4.10 (GNU/Linux)
 
 iQIcBAEBAgAGBQJO4MiBAAoJEKpfDYQAUTlHSMQP/3fJO3cTJtNMUj1NK3IuhS8q
 5CNMXZ8lqhqROTUOk7DAhPIrlS9fDYP/y8MJW2U970mzhFkU+U6RS9q8F9PzAupk
 ls263MNyrAorSlr3WcvWuH/8Ko60lfSX1GwHRpDZTlYX5gF+iZhhV/Z3R134Pfdl
 gycmeNJmrT1sdUo7iWl8t95UDnVnihTmaA4tvURM0zIQ6tOSmPLQU+/eRkvvTWk/
 g9tLXfW58xiZFERML3gl1H8m/Nx/bx/kbO1hG69V5XwiFzhmResaLRMtlaWRb5Er
 Txsisi8JYZqJvGHUCDyTHCCmGLdM/vjKzbBDV8n+dlCjtQLJ1o0D3rYV/tOKs5Am
 2KShQPLLnp16CTNGdFFNqkjgKufpqjgHurcjPjEbjdSJl7Wfsz1vrTZlKCmf1pV0
 5H+kDJGPPoJFqzS3oz7Lf9f7ZVZuyUKO1lrhHSCEH/o4kVX0u7rh2dGFWsOHPyJO
 b6ggAXhpeF+3GbCbXwZEcLMzFFjf1NA7m4dgKmvKyVEMMCUJE1k5vXxn/GT028mT
 aabF4yAVoKT/hxnrlMN5SPSIv0l3QnYa7+ledXhspX+4+TfEfE0F91njmOE0bNqh
 ewENVX6FftXpJdrycvK6eIK8Sz5Z1cFH54NCtZkrTENuwhq0gKSBBCXRY3Y2dHYG
 QL0Ctk1qfD6WMJnzR50H
 =tOmu
 -----END PGP SIGNATURE-----
  • vérification
 $ gpg --verify wnh-ca.crt.asc 
 gpg: Signature faite le jeu. 08 déc. 2011 15:24:01 CET avec la clé RSA ID 00513947
 gpg: Bonne signature de « Okhin (Datalover) <okhin@datalove.me> »
 gpg:                 alias « Okhin <okhin@okhin.fr> »

Implémenter le tout dans un navigateur web ne doit pas être complexe, pour peu que le certificat signé soit publié quelque part.

~~ Okhin