Le Mon, 21 Jan 2019 07:51:46 +0100,
Pierre Malard <p...@teledetection.fr> a écrit :

> Bonjour,
> 
> Le comportement de ces navigateur est logique avec la philosophie
> d’une connexion sécurisée par une autorité. Celle-ci doit être
> reconnue pour assurer la confidentialité des échanges. La plupart
> des utilisateurs/constructeurs laissent le certificat « snake oil »
> de base mais, par évidence, ce système ne peut être considéré
> comme sûr.
> 
> Une réponse certainement bête mais … avez-vous demandé au constructeur
> de ces équipement s’il n’était pas possesseur d’un vrai certificat ?
> Visiblement, c’est lui qui impose l’utilisation d’un traitement par
> certificat, qu’il propose donc une solution certifiée.
> 
> Une autre solution puisque vous dites que la machine n’est pas sur
> un réseau connecté : passer sur une connexion sans cryptage. Ce ne
> sera pas moins sûr que le certificat de base et si cet équipement
> est réellement isolé, cela ne présente pas véritablement de danger
> à moins d’être directement et physiquement connecté dessus, donc
> à côté.
> 
> Autre solution si vous avez accès à la configuration de la machine,
> est-ce que vous ne pouvez pas y coller un certificat d’autorité et
> le faire reconnaître une fois pour toute par le navigateur (Chrome,
> Firefox) pour qu’il cesse de vous em… ?
> 
> Cordialement

Bonjour,

La réponse actuelle du/des constructeur(s) est le certificat auto-signé
car il ne leur semble pas possible d'avoir un vrai certificat sur des
équipements dont ils ne maitrisent ni le nom de machine ni l'IP,
d'où ma recherche pour essayer de voir s'il n'y a pas malgré tout
une solution.

J'ai un accès partiel au système, certaines applications ne
permettent pas de passer hors HTTPS/SSL. Je comprend bien que les
constructeurs ne souhaitent pas, par exemple, que les identifiants
permettant d'interagir avec l’équipement passent en clair sur un
réseau quel qu'il soit. 

Y coller un certificat d'autorité est bien mon idée sauf que je me
heurte (connaissance insuffisante de ma part) à:
comment je fais pour créer un certificat d'autorité pour un équipement
où nom de domaine, nom de machine, IP peuvent varier ? 
Pour moi, de ce que j'ai compris, je dois en créer un à chaque fois que
l'équipement change de nom de domaine, de nom de machine, d'ip.
J'avais pensé à la création à la volée via lets encrypt (ou autre) mais
dans ce cas j'ai besoin d'une connexion internet et d'un renouvellement
régulier sur chaque équipements.

Autre idée, avoir un nom de machine unique et non modifiable par
l'opérateur (je force un alias sur 127.0.0.1 par exemple) sur lequel je
pourrais créer ce certificat d'autorité qui serait reconnu comme de
confiance par les navigateurs mais je n'arrive pas à voir comment créer
cela pour plusieurs centaines d'équipements (gestion, coût), d'où mon
message.
Un certificat *.mondomaine me semblant absurde et contraire à l'idée du
chiffrement.

Cordialement
-- 
Jack.R

Répondre à