Résolu Authentification forte par cerrtificat

  • Auteur de la discussion marsien
  • Date de début
marsien

marsien

Grand Maître
Salut,

J'ai hésité en Programmation et Linux pour ma question, mais comme on y retrouve globalement les mêmes personnes ... :D

Je développe une petite application pour mon entreprise. J'aimerai bien qu'elle soit un peu plus sécurisée qu'avec un simple couple login/mot de passe... L'application fait appel au duo classique PHP/MySQL, avec un serveur Apache, le tout sur Gentoo. Le nom de domaine est en https avec un certificat souscrit auprès d'OVH.

Bien qu'ayant regardé du côté de Google, je n'ai pas vraiment trouvé de réponses (j'ai pas du taper les bons mots clés :o ) : comment faire pour délivrer un certificat à mes visiteurs (employés de l'entreprise) et ensuite vérifier leur authentification via ce certificat ? L'idée est similaire à celle utilisée (ou ayant été utilisée, je en sais plus) par les impôts pour les déclarations en ligne : installer un certificat sur la machine du visiteur, certificat qui servira à l'authentifier.

Question subsidiaire : ce système est-il réellement plus fiable qu'un couple login/mot de passe ? Si non, qu'est-ce que vous me conseillez ?

Merci d'avance :)
 
B

batchy

Grand Maître
Meilleure réponse
Si les PC de tes visiteurs sont des vraies passoires bourrées de trojans, spywares et rootkits, y en a pas un qui sera plus sécurisé ou fiable que l'autre. Si c'est correctement sécurisé, et que l'on oblige les utilisateurs à protéger leurs certificats par mot de passe, tu gagne pas grand chose ... tant que tu perd pas ton certificat racine :o

Sinon pour forcer l'utilisation d'un certificat client, il faut regarder du coté d'apache, il y a des options qui permettent de configurer le certificat qui fait autorité pour valider les certificats utilisateurs, et des autres qui rendent l'utilisation d'un certificat obligatoire.
 
marsien

marsien

Grand Maître
Merci Batchy pour ta réponse. A la lumière de tes propos, j'ai repris mes googleries afin de mieux cerner le paramétrage d'Apache. En dehors de la doc que j'avais déjà parcouru, j'ai trouvé ceci (un exemple de mise en place) :
Vous devez être connecté pour voir les liens.
; est-ce potable dans la pratique ? Et si j'ai bien compris, il faut que le serveur devienne sa propre CA pour délivrer les certificats aux clients demandeurs ?

Et comme je le craignais, c'est plus compliqué et pas forcément plus sur qu'un couple login/mot de passe seul... Avant de me lancer, si Batchy ou d'autres avez d'autres conseils/avis sur la question, je suis preneur :)

Est-ce que quelqu'un parmi vous à déjà fait ce type d'installation ? Avez-vous des retours sur la facilité d'utilisation et de gestion des certificats ?

Merci d'avance
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 156
Messages
6 718 486
Membres
1 586 439
Dernier membre
Thailounette
Partager cette page
Haut