• # certbot + challenge DNS?

    Posté par . En réponse au message HTTPS sur réseau local. Évalué à 4.

    À part utiliser une CA déjà connue, pas d'autre choix que l'auto-signé.
    Du coup, utiliser let's encrypt comme CA me semble faisable.
    Dans tous les cas, il te faudra un nom de domaine internet, donc que le DHPC de ton LAN fournisse un DNSd qui connaisse ton serveur (dommage de passer par internet pour un accès du serveur LAN, pas vrai?).

    Pour le challenge HTTP, il faut que la machine installe et fasse tourner le certbot en tant que root, ce qui peut poser problème. Il faut également, de mémoire, un httpd qui supporte les CGI, ainsi que python installé. Et, bien entendu, être joignable par le www... Si je ne m'abuse.

    Perso, je regarderais plus les challenge DNS, pas d'install spécifique sur le serveur.

    Notes aussi que je peux me tromper: j'ignore si le certificat vérifie la concordance de l'IP (ce qui ne me surprendrais pas). Si c'est le cas, peut-être via l'IPv6?
    C'est, de toute façon, juste une piste.

    Perso, je me ferais pas chier: un certificat auto-signé, une manip a faire par les utilisateurs et hop. Beaucoup plus simple ainsi. Au final, c'est même plus sûr que d'utiliser une CA, puisque ton certificat étant auto-signé, si un cert parent se fait voler/copier/whatever, tu ne sera pas affecté (ben oui: pas de cert parent. D'ailleurs, il me semble bien que ce genre de situations s'est déjà produites...) contrairement à un "vrai" certificat.
    L'inconvénient, c'est que bien sûr l'auto-signé, ça scale pas, et ça demande aux utilisateurs de faire confiance au 1er usage.

    Tout dépend du besoin réel en fait. D'ailleurs, pour "sniffer", il faudrait que le sniffeur, soit ait accès physique au switch ou aux câble qui relie celui-ci au serveur, soit accès au câble entre un client et le switch (pour espionner ce client-ci) soit passer par du wifi (et encore... dans le cas du wifi je ne sais pas s'il est trivial de déchiffrer les connexions des autres... et ça m'étonnerais qu'on le puisse avec tous les protocoles de chiffremment...).

    Dans un hypothétique cas 100% filaire (câbles encastrés dans le mur, pas d'accès physique, etc), avec 0 logiciel malveillant installé sur la machine cliente, je pense même que le chiffrement n'apporte rien.