FusionForge de l'ADULLACT: Pastell : [#5491] Modification d'acqusition du certificat AC du TDT

Date :
01/12/2011 11:44

Priorité :
3

État :
Open

Proposé par :
franck meignen (fmeignen)

Confié à :
Eric Pommateau (epommate)

Composants :
Fonctionnalité

Resolution :
Impossible

Résumé :
Modification d'acqusition du certificat AC du TDT

Description détaillée
Au niveau de la connexion vers le TDT, il est nécessaire de renseigner dans chaque collectivité le certificat au format "pem" de l' AC du certificat HTTPS du TDT. Si demain, l'autorité de certification change, expire ou si le TDT désire changer de fournisseur et donc d'AC pour le certificat HTTPS, il y aura autant de modifications à effectuer que de collectivités. Il serait préférable d'effectuer la récupération du certificat d'AC via une commande OpenSSL/Curl, ce certificat étant accessible publiquement dans un simple navigateur. Un bouton "récupérer le certificat d'AC" pourrait être présent, ou même une fonction qui effectuerais silencieusement cette manipulation.
Au niveau de la connexion vers le TDT, il est nécessaire de renseigner dans chaque collectivité le certificat au format "pem" de l' AC du certificat HTTPS du TDT. Si demain, l'autorité de certification change, expire ou si le TDT désire changer de fournisseur et donc d'AC pour le certificat HTTPS, il y aura autant de modifications à effectuer que de collectivités. Il serait préférable d'effectuer la récupération du certificat d'AC via une commande OpenSSL/Curl, ce certificat étant accessible publiquement dans un simple navigateur. Un bouton "récupérer le certificat d'AC" pourrait être présent, ou même une fonction qui effectuerais silencieusement cette manipulation.

Message
Date : 18/01/2013 17:40 Expéditeur : franck meignen Ok, certes, n'est il pas possible dans ce cas de généraliser la mise en place de ce certificat d'AC root sur le connecteur global TDT. Le connecteur global pourrais contenir l' URL du TDT et son certificat d'AC, paramètre qui est toujours le même, il agirai comme modèle pour les connecteurs liés aux collectivités. Cela pourrais permettre lors du changement de certificat HTTPS du TDT, de ne pas avoir à effectuer l' opération de modification de certificat d' AC sur x connecteurs mais uniquement sur le connecteur Global.
Date : 18/01/2013 07:44 Expéditeur : Eric Pommateau Non, cela serait une faille de sécurité ! Si une attaque change le DNS du TdT et que Pastell récupère automatiquement la fausse AC alors celle-ci ne servira à rien.
Date : 26/01/2012 14:30 Expéditeur : CDG59 creaticcdg Je vote pour :D

Pas de documents joints

Champ	Ancienne valeur	Date	Par
Resolution	None	18/01/2013 07:44	Eric Pommateau
details	Au niveau de la connexion vers le TDT, il est nécessaire de renseigner dans chaque collectivité le certificat au format "pem" de l' AC du certificat HTTPS du TDT. Si demain, l'autorité de certification change, expire ou si le TDT désire changer de fournisseur et donc d'AC pour le certificat HTTPS, il y aura autant de modifications à effectuer que de collectivités. Il serait préférable d'effectuer la récupération du certificat d'AC via une commande OpenSSL/Curl, ce certificat étant accessible publiquement dans un simple navigateur. Un bouton "récupérer le certificat d'AC" pourrait être présent, ou même une fonction qui effectuerais silencieusement cette manipulation.	26/01/2012 14:30	CDG59 creaticcdg