technique de contournement pour renouveler un certif startssl sans frais
samedi 12 avril 2014 à 11:41 jeekajoo, le 12/04/2014 à 11:41
Pour renouveler un certif class1 startssl à l'identique il faut passer par la case révocation et c'est 25$.. (https://fralef.me/links/?KQxECQ)
La technique que j'ai trouvé consiste à créer un autre certif sur un cname différent. Dans mon cas j'avais un certif dont le cname était www.fralef.me avec alias (obligatoire) fralef.me. Là je viens d'en créer un nouveau avec fralef.me en cname et xxx.fralef.me en alias car je n'avais le droit de reprendre www.fralef.me et que je me tape de ce sous-domaine...
Reste un probleme non résolu: la révocation de l'ancien certif... cela dit les navigateurs ne vérifient pas les listes de révocation par défaut. donc même en le révoquant je ne suis même pas sur qu'il ne pourra pas être réutilisé par un tier jusqu'à son expiration (https://fralef.me/links/?QPGHqQ).
Enfin il y a le perfect forward secrecy que j'ai mis en place depuis un moment, et qui est censé me garantir que même si on a collecté des données chiffrées avec ma clé qui a potentiellement été leakée avant que je patch: on ne pourra pas les déchiffrer. Bon je ne dis pas que je me sens pour autant à l'abris des NSA et consorts. Ça serait extrèmement prétentieux et hautement improbable, car l'histoire a montré qu'ils avaient toujours un coup d'avance.
(Permalink)
Pour renouveler un certif class1 startssl à l'identique il faut passer par la case révocation et c'est 25$.. (https://fralef.me/links/?KQxECQ)
La technique que j'ai trouvé consiste à créer un autre certif sur un cname différent. Dans mon cas j'avais un certif dont le cname était www.fralef.me avec alias (obligatoire) fralef.me. Là je viens d'en créer un nouveau avec fralef.me en cname et xxx.fralef.me en alias car je n'avais le droit de reprendre www.fralef.me et que je me tape de ce sous-domaine...
Reste un probleme non résolu: la révocation de l'ancien certif... cela dit les navigateurs ne vérifient pas les listes de révocation par défaut. donc même en le révoquant je ne suis même pas sur qu'il ne pourra pas être réutilisé par un tier jusqu'à son expiration (https://fralef.me/links/?QPGHqQ).
Enfin il y a le perfect forward secrecy que j'ai mis en place depuis un moment, et qui est censé me garantir que même si on a collecté des données chiffrées avec ma clé qui a potentiellement été leakée avant que je patch: on ne pourra pas les déchiffrer. Bon je ne dis pas que je me sens pour autant à l'abris des NSA et consorts. Ça serait extrèmement prétentieux et hautement improbable, car l'histoire a montré qu'ils avaient toujours un coup d'avance.
(Permalink)