Le 15/03/2024 à 11:14, Arnaud Launay via FRsAG a écrit :
Le Fri, Mar 15, 2024 at 07:58:05AM +0100, Léo El Amri via FRsAG a écrit:
Le protocole ACME ne t'empêche pas de générer ta clef privée en local. Si ça
n'était pas le cas, ça serait complètement stupide et dangereux, en effet.
Absolument. Tu peux même générer ta clef directement à partir d'openssl sans
passer
par la couche d'abstraction du logiciel (ici on utilise acme.sh, et j'en suis
ravi).
Couche qui crée de toute façon la clef en local aussi, avec le random local, et
ça ne
sort pas du serveur non plus.
La génération de la clef et du CSR est faite en locale, et ce qui est fait par
le cloud © ® ™ c'est
- la vérification du domaine pour le wildcard ou de l'url pour un certificat
plus restreint
- la signature du certificat par l'autorité
- l'envoi du certificat signé vers ton serveur, en chiffré TLS (ce qui n'est
même pas
strictement nécessaire, puisqu'il s'agit de la partie publique du certificat)
Finalement, c'est exactement la même chose qu'avec Comodo ou autre.
Merci pour ces précisions ; j'avoue que cela ne me saute pas aux yeux quand je
survole les 8009 lignes de shell d'acme.sh :-)
Rassure-moi, on n'est pas vendredi, mais c'était un troll ?
C'est mignon la coutume du vendredi. C'est sympa pour justifier les
échanges sur des sujets plus distrayant que sérieux mais l'utiliser
comme argument pour critiquer un point de vue, c'est petit.
Je ne pense pas que la remarque soit une, c'est juste que tu nous as habitué à
mieux.
C'est ça. J'ai rajouté la ligne après avoir écrit le reste, parce que j'avais
du mal
à croire que je lisais du Barme. Du coup, je me suis dit que pour une fois, il
avait
peut-être envie de se détendre...
Absolument ! J'avais vraiment besoin de me détendre. Il est clair que mes
communications un peu précipitées d'avant ce weekend étaient pour le moins
maladroites.
Et justement je reviens d'un petit séjour à Londres, loin de mes préoccupations
informatiques habituelles : British Museum, Natural History Museum, National
Gallery, pubs, full english breakfast, cream teas, et tout et tout. Ca va
beaucoup mieux :-).
Néanmoins, j'ai quelques arguments à (mieux) présenter qui pourront je l'espère
éclairer mon point de vue et sans doute susciter des réponses qui complèteront
ma compréhension des aspects techniques qui m'échappent.
Je reviendrai sur ces sujets dès que j'aurai un peu de temps pour le faire
correctement…
Apparemment, j'avais tort :(
Arnaud.
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/