Si tu es connecté en SSL, tu reçois les pages web (des formulaires tout ce qu'il y a de plus classique) sur une connexion sûre. Tu es également certain qu'ils n'ont pas été modifiés.
Non! Il y a juste authentification mutuelle puis chiffrement du canal de communication. Rien ne te garantie que personne n'a réussi à modifier le site en douce. La page en elle même qui t'es envoyée n'est pas signée.
Franchement, si tu envoies des données (là encore via des formulaires web classiques) sur une connexion authentifiée, c'est que bien toi qui est à l'autre bout. Signer la déclaration ou envoyer la déclaration sur un canal authentifié, je vois la différence théorique, mais en pratique le résultat est le même : tu as la garantie que c'est bien toi (au sens de toi = le possesseur de la clef privée) qui a fait la déclaration. Le fait de considérer la "déclaration" comme un document unique, signé une fois, ou comme la procédure qui consiste à "déclarer" (envoyer petit à petit) les différents élément, sur un canal authentifier, ce sont deux points de vue équivalents, AMHA.
L'authentification est une procédure interactive qui ne peut être vérifiée après coup. La signature elle peut être vérifiée plus tard par n'importe qui a connaissance de la clé publique ad hoc. Elle ne peut être répudiée sauf si tu prouve que tu t'es fait volé ta clé privée. Elle a une valeur juridique. Cette signature est une preuve que tu as fait ta déclaration. Une authentification mutuelle + chiffrement ne permet pas cela.
Authentification et signature (de document) numérique sont deux actions très différentes même si elles utilisent des outils similaires.
Pour moi, c'est au serveur de générer ce pdf et de le signer, garantissant ainsi son authenticité. Certes, ça rajoute de la charge serveur.
Le PDF contient essentiellement ta signature et constitue donc une preuve. Je ne voit pas pourquoi ça serait au serveur de la fournir et encore moins pourquoi il devrait le signer. C'est toi qui certifie l'exactitude des infos (et donc signe), pas le serveur.
Simplement s'il y a moyen de faire plus simple, autant faire plus simple. Pourquoi ne pas se passer de l'applet. Tous les navigateurs qui la supporte supportent aussi l'authentification SSL mutuelle, non ?
En quoi la solution java est-elle complexe? Tu as juste besoin du plugin Java sous ton navigateur. Et OpenSSL tout seul c'est bien pour l'authentification mais à mon avis une signature numérique est indispensable, ce qui suppose des développements supplémentaires. On pourrait imaginer une extension Firefox, mais du coup ça fonctionnerait pas sous IE (pas grave), ni sous Konqueror, Opera, etc.
Pour moi la solution de l'applet Java me semble encore la meilleure solution.
[^] # Re: Justement
Posté par ndesmoul . En réponse au journal SSL : impôts et EEE PC (en vrac). Évalué à 3.
Non! Il y a juste authentification mutuelle puis chiffrement du canal de communication. Rien ne te garantie que personne n'a réussi à modifier le site en douce. La page en elle même qui t'es envoyée n'est pas signée.
Franchement, si tu envoies des données (là encore via des formulaires web classiques) sur une connexion authentifiée, c'est que bien toi qui est à l'autre bout. Signer la déclaration ou envoyer la déclaration sur un canal authentifié, je vois la différence théorique, mais en pratique le résultat est le même : tu as la garantie que c'est bien toi (au sens de toi = le possesseur de la clef privée) qui a fait la déclaration. Le fait de considérer la "déclaration" comme un document unique, signé une fois, ou comme la procédure qui consiste à "déclarer" (envoyer petit à petit) les différents élément, sur un canal authentifier, ce sont deux points de vue équivalents, AMHA.
L'authentification est une procédure interactive qui ne peut être vérifiée après coup. La signature elle peut être vérifiée plus tard par n'importe qui a connaissance de la clé publique ad hoc. Elle ne peut être répudiée sauf si tu prouve que tu t'es fait volé ta clé privée. Elle a une valeur juridique. Cette signature est une preuve que tu as fait ta déclaration. Une authentification mutuelle + chiffrement ne permet pas cela.
Authentification et signature (de document) numérique sont deux actions très différentes même si elles utilisent des outils similaires.
Pour moi, c'est au serveur de générer ce pdf et de le signer, garantissant ainsi son authenticité. Certes, ça rajoute de la charge serveur.
Le PDF contient essentiellement ta signature et constitue donc une preuve. Je ne voit pas pourquoi ça serait au serveur de la fournir et encore moins pourquoi il devrait le signer. C'est toi qui certifie l'exactitude des infos (et donc signe), pas le serveur.
Simplement s'il y a moyen de faire plus simple, autant faire plus simple. Pourquoi ne pas se passer de l'applet. Tous les navigateurs qui la supporte supportent aussi l'authentification SSL mutuelle, non ?
En quoi la solution java est-elle complexe? Tu as juste besoin du plugin Java sous ton navigateur. Et OpenSSL tout seul c'est bien pour l'authentification mais à mon avis une signature numérique est indispensable, ce qui suppose des développements supplémentaires. On pourrait imaginer une extension Firefox, mais du coup ça fonctionnerait pas sous IE (pas grave), ni sous Konqueror, Opera, etc.
Pour moi la solution de l'applet Java me semble encore la meilleure solution.