Le 31/12/2018 à 14:26, G2PC a écrit : >>> Je ne sais pas comment faire pour vérifier le certificat en ligne de >>> commande. Qu'entendait par la mon interlocuteur ? >> $ openssl s_client -connect www.visionduweb.fr:443 -showcerts >> CONNECTED(00000003) >> depth=1 /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 >> verify error:num=20:unable to get local issuer certificate >> verify return:0 >> --- >> Certificate chain >> 0 s:/CN=green-nrj.com >> i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 >> -----BEGIN CERTIFICATE----- >> MIIG+jCCBeKgAwIBAgISBAlKRxSnx7RHIkwKBKH41cweMA0GCSqGSIb3DQEBCwUA >> MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD >> ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODEyMjAwMTM3MDJaFw0x >> OTAzMjAwMTM3MDJaMBgxFjAUBgNVBAMTDWdyZWVuLW5yai5jb20wggIiMA0GCSqG >> SIb3DQEBAQUAA4ICDwAwggIKAoICAQCi6DDW4g5Zl7plzuHn9qfPS8n+6tRDIXyH >> 5yTOJ78rSJPax45AU7luMvFkBgsDQIkR8k0SMbnbhKnUm3wt/cFC/PdmwCofJKs+ >> cS65pEZEZGECrbxm96A95I4xmPgJqYPkHipMWWfzo7vQKiJT/ZTPV9MnXfJIFB03 >> swfE7cUnVgFPk5X1yO5QV/xhE/VqLN3/loqubTVoXqT4UfR64gyKD869gMcs0TOU >> 631uwDCiP+giP52lyRApyNROiwjqoWZqO6a9tCz8YwdxpGEVpVRErzT9ErfxL5BC >> NkQbBGfm3qweOzk0hLZ/inqGDQna0gD5JOajNwXc4r8+laxKcvC1tsSt6UaS7cFd >> V5s7V3lgFwDpFT/Rd2a8584cTJjw+8qUjr82O866+hdiqCgUJfLQgFdLiV3PgvRy >> Ef1vC6CUqnUtr2DgHg/pghol7GgQWij+ZHPe/LVIbGIYwFcU7VaisbjhZB2/jXDw >> m/CABN5+4gC6/NbK6i0HzGnraLXegUq7U+U2HIdlZ7zZygKFOIdXtG6gY1k9UZ+d >> hel8Ddyhvwyz8NGFyC2/87A0Yo8UoimhUhBRrJDslrKaG5rvIOXZqezmHhQaYUMG >> Bd2SsToCXsKPwicRLUMGg2YL9V2c4oNdNzSqR/jyXdl2lEwpSOcqOI/jt0IvpaUN >> XqxDZKrfhwIDAQABo4IDCjCCAwYwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQG >> CCsGAQUFBwMBBggrBgEFBQcDAjAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBQsjvMX >> Ag8GMFZEkeQQXnOhfSTOkDAfBgNVHSMEGDAWgBSoSmpjBH3duubRObemRWXv86js >> oTBvBggrBgEFBQcBAQRjMGEwLgYIKwYBBQUHMAGGImh0dHA6Ly9vY3NwLmludC14 >> My5sZXRzZW5jcnlwdC5vcmcwLwYIKwYBBQUHMAKGI2h0dHA6Ly9jZXJ0LmludC14 >> My5sZXRzZW5jcnlwdC5vcmcvMIG/BgNVHREEgbcwgbSCDWdyZWVuLW5yai5jb22C >> GHVuaXMtcG91ci1sYS1wbGFuZXRlLmNvbYIXdW5pcy1wb3VyLWxlLWNsaW1hdC5j >> b22CDnZpc2lvbmR1d2ViLmZyghF3d3cuZ3JlZW4tbnJqLmNvbYIcd3d3LnVuaXMt >> cG91ci1sYS1wbGFuZXRlLmNvbYIbd3d3LnVuaXMtcG91ci1sZS1jbGltYXQuY29t >> ghJ3d3cudmlzaW9uZHV3ZWIuZnIwTAYDVR0gBEUwQzAIBgZngQwBAgEwNwYLKwYB >> BAGC3xMBAQEwKDAmBggrBgEFBQcCARYaaHR0cDovL2Nwcy5sZXRzZW5jcnlwdC5v >> cmcwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdgBVgdTCFpA2AUrqC5tXPFPwwOQ4 >> eHAlCBcvo6odBxPTDAAAAWfJeTPwAAAEAwBHMEUCIQCvGIWQ7UI+5bOJYleH0Mq0 >> vfc1n1KVr17UCigKLWG+ugIgBkvLL/9Zjw3LwDT1wUXWDoXWTgKaN3Q2mwv5iWxd >> yVsAdgApPFGWVMg5ZbqqUPxYB9S3b79Yeily3KTDDPTlRUf0eAAAAWfJeTPqAAAE >> AwBHMEUCIB1mOFfzS7CQB43SHJ54wIAh/IMa73OYPkd5bsUlIUHaAiEAn6xkJahl >> P+momyiuDgdKPjQamb6W5ipqlvrbcghiIKEwDQYJKoZIhvcNAQELBQADggEBAGVH >> BSBcOqI7d0pQ0wTBwg6VxTUJNfh7WmGYpqJzqgtKDoTgMwV+0Z8kSDdwBdldIsj2 >> ns8v7bFqDbY3HZA2YS1QH3uPoo4B4/XzRCyYZXJ+5AE1lULvryj5isFoKEXkRhTn >> e2LX/6/QYNw2TC4woXshYxGxxafH/d+MIycwHUv9xNvKCRr78RkYRXFtMGwZ+HIU >> tQvgJmIae7hoOZ8zGyHyqqDgNxbtpeGADYmpuDZFxvWFlngVjBUPyYmvttdJVu3I >> A2uDjIof8HZRAHcSezSMlrJTOZ5raM/YsihnQy/fZ/A2HJrLh8DXGnlzNa//e8YL >> SV+8hWnOBW0yO8TDJP8= >> -----END CERTIFICATE----- >> 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 >> i:/O=Digital Signature Trust Co./CN=DST Root CA X3 >> -----BEGIN CERTIFICATE----- >> MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ >> MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT >> DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow >> SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT >> GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC >> AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF >> q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8 >> SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0 >> Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA >> a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj >> /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T >> AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG >> CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv >> bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k >> c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw >> VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC >> ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz >> MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu >> Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF >> AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo >> uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/ >> wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu >> X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG >> PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6 >> KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== >> -----END CERTIFICATE----- >> --- >> Server certificate >> subject=/CN=green-nrj.com >> issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 >> --- >> No client certificate CA names sent >> --- >> SSL handshake has read 4690 bytes and written 712 bytes >> --- >> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA >> Server public key is 4096 bit >> Secure Renegotiation IS supported >> Compression: NONE >> Expansion: NONE >> SSL-Session: >> Protocol : TLSv1 >> Cipher : DHE-RSA-AES256-SHA >> Session-ID: >> 537EE5EEBB6229A1D067B5D8FDF1BCD8D0AF95794D423DA71D89FAFDB7AE66E6 >> Session-ID-ctx: >> Master-Key: >> 34F7AC2BCA2C7EB74554D5D6F5C4107DD5F908969056B066D4B0174926BEED093C73734E2C1088CEEBBD8A6C3E8D4C49 >> Key-Arg : None >> Start Time: 1546191685 >> Timeout : 300 (sec) >> Verify return code: 0 (ok) >> --- >> >> Enjoy! >> >> Ph. Gras > > Merci. > > Et, ça semble correct ? > A partir de toutes ses informations, comment puis je savoir si me > connecter à ce domaine est sécurisé et légitime ? > > J'ai certifié plusieurs domaines en même temps, dans le dossier > green-nrj.com ( Qui devient le CN d'après ce que je lis CN=green-nrj.com ) > Donc, que le domaine visionduweb.fr indique un CN=green-nrj.com est normal. > > > Pour le reste, je conçois qu'une clé est indiquée, faut t'il que je la > compare quelque part ? > > > Au niveau de la clé en 4096 bit je suppose que c'est déjà très bien, par > contre, pour le Cipher, je ne sais pas ... > Je me demandais d'ailleurs si il ne me manque pas des informations, au > niveau de ma configuration, pour ajouter un ou plusieurs Cipher, pour > renforcer la configuration. Je n'ai pas encore bien compris cela. Je me > demande si ce n'est pas ça qui fait que je n'ai que une note de B, au > lieu de A+ comme vu sur certains tutoriels. > > SSL handshake has read 4690 bytes and written 712 bytes > --- > New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA > Server public key is 4096 bit
J'ai également trouvé ceci pour vérifier si le certificat a été révoqué ou non : curl -L -v -s https://www.visionduweb.fr 1>/dev/null Connection #0 to host www.visionduweb.fr left intact Je suppose que ce message signifie que le certificat est valide, donc, la connexion légitime ?