Le 15/03/2024 à 11:14, Arnaud Launay via FRsAG a écrit :
Le Fri, Mar 15, 2024 at 07:58:05AM +0100, Léo El Amri via FRsAG a écrit:
Le protocole ACME ne t'empêche pas de générer ta clef privée en local. Si ça n'était pas le cas, ça serait complètement stupide et dangereux, en effet.
Absolument. Tu peux même générer ta clef directement à partir d'openssl sans passer par la couche d'abstraction du logiciel (ici on utilise acme.sh, et j'en suis ravi). Couche qui crée de toute façon la clef en local aussi, avec le random local, et ça ne sort pas du serveur non plus.
La génération de la clef et du CSR est faite en locale, et ce qui est fait par le cloud © ® ™ c'est
- la vérification du domaine pour le wildcard ou de l'url pour un certificat plus restreint
- la signature du certificat par l'autorité
- l'envoi du certificat signé vers ton serveur, en chiffré TLS (ce qui n'est même pas strictement nécessaire, puisqu'il s'agit de la partie publique du certificat)
Finalement, c'est exactement la même chose qu'avec Comodo ou autre.
Merci pour ces précisions ; j'avoue que cela ne me saute pas aux yeux quand je survole les 8009 lignes de shell d'acme.sh :-)
Rassure-moi, on n'est pas vendredi, mais c'était un troll ?
C'est mignon la coutume du vendredi. C'est sympa pour justifier les échanges sur des sujets plus distrayant que sérieux mais l'utiliser comme argument pour critiquer un point de vue, c'est petit.
Je ne pense pas que la remarque soit une, c'est juste que tu nous as habitué à mieux.
C'est ça. J'ai rajouté la ligne après avoir écrit le reste, parce que j'avais du mal à croire que je lisais du Barme. Du coup, je me suis dit que pour une fois, il avait peut-être envie de se détendre...
Absolument ! J'avais vraiment besoin de me détendre. Il est clair que mes communications un peu précipitées d'avant ce weekend étaient pour le moins maladroites.
Et justement je reviens d'un petit séjour à Londres, loin de mes préoccupations informatiques habituelles : British Museum, Natural History Museum, National Gallery, pubs, full english breakfast, cream teas, et tout et tout. Ca va beaucoup mieux :-).
Néanmoins, j'ai quelques arguments à (mieux) présenter qui pourront je l'espère éclairer mon point de vue et sans doute susciter des réponses qui complèteront ma compréhension des aspects techniques qui m'échappent.
Je reviendrai sur ces sujets dès que j'aurai un peu de temps pour le faire correctement…
Apparemment, j'avais tort :(
Arnaud. _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/