Vérification de certificat HTTPS

cs_yoyopi Messages postés 5 Date d'inscription mardi 13 janvier 2004 Statut Membre Dernière intervention 21 octobre 2011 - 19 oct. 2011 à 11:49
cs_yoyopi Messages postés 5 Date d'inscription mardi 13 janvier 2004 Statut Membre Dernière intervention 21 octobre 2011 - 21 oct. 2011 à 15:11
Salut à tous,

J'ai une application qui se connecte à un serveur web en https pour récupérer une image. Je me pose une question au niveau de la sécurité et je suis un peu perdu à vrai dire!!

Pour tester j'ai un serveur Apache avec mod_ssl ou la double authentification est mise en place. J'ai créé les certificats client et serveur en auto-signés.
La connexion fonctionne bien pas de soucis à ce niveau là, l'authentification fonctionne et j'arrive à récupérer mon image.

Mais j'ai une question au niveau de la sécurité, je ne vois pas en quoi la double authentification permet de se prémunir d'une attaque de type Man In The Middle par exemple.

Je pense qu'un moyen "simple" d'éviter ces attaques serait dans mon code de vérifier la chaine de certification, mais après toutes mes lectures je n'ai pas compris comment faire, pouvez-vous m'indiquer des sources "claires"?!!
Y'a t'il d'autres actions au niveau de mon code que je doit mettre en place pour être certain que je discute bien avec le serveur voulu?

Merci de votre aide
A voir également:

4 réponses

cs_yoyopi Messages postés 5 Date d'inscription mardi 13 janvier 2004 Statut Membre Dernière intervention 21 octobre 2011
21 oct. 2011 à 11:43
Bey alors personne ne connait le https??!
0
cs_Julien39 Messages postés 6414 Date d'inscription mardi 8 mars 2005 Statut Modérateur Dernière intervention 29 juillet 2020 367
21 oct. 2011 à 14:39
Bonjour,

En fait, je pense que toi même tu ne dois pas avoir une grande connaissance sur le fonctionnement des certificats. Ils représentent une solution pour l'attaque dite "man in the middle" par l'utilisation d'une autorité de certification (appelée tiers de confiance en cryptographie). C'est cette autorité de certification qui te fournit la clé publique de ton interlocuteur, même si quelqu'un se place entre ton interlocuteur et toi, in ne pourra pas lire ce que tu lui envoi étant donné qu'il ne connait pas sa clé privée.

Je ne sais pas ce que tu développes comme application mais si c'est un petit site pour toi, ce n'est pas forcément nécessaire de le faire en https. Prend l'exemple de javafr, tu te connectes et pourtant, il n'y a pas d'https, est dans ce cas, est-ce bien nécessaire ?
0
cs_yoyopi Messages postés 5 Date d'inscription mardi 13 janvier 2004 Statut Membre Dernière intervention 21 octobre 2011
21 oct. 2011 à 15:10
Bonjour,

Non effectivement je n'ai pas une grande connaissance des certificats!! Ce que je n'avais pas compris c'est que c'était l'autorité de certif qui me donnait la clé publique de l'interlocuteur.

Si je comprend bien voilà les étapes à faire au niveau de mon code :
1- Appel de la page sur le serveur
2- Réception du certificat (automatique)
3- récupération de la clé publique correspondante auprès de l'autorité de certification précisée dans le certificat reçu
4- Envoi de mon certificat (car double authentification) (automatique)
5- Échange d'infos quelconques en mode sécurisé

J'ai tout bon?!!
0
cs_yoyopi Messages postés 5 Date d'inscription mardi 13 janvier 2004 Statut Membre Dernière intervention 21 octobre 2011
21 oct. 2011 à 15:11
j'ai oublié que dans mon cas le passage par des certificat est obligatoire.
0