Commentaires sur : Autorité de certification openssl

Par : caus909

caus909 — Wed, 31 Mar 2010 12:15:17 +0000

J’avoue j’avoue, ça va bien me faciliter la tâche :D

Par : peck

peck — Tue, 30 Mar 2010 20:36:14 +0000

Ce qui est logique.
Mais bon, un certain nombre de navigateurs sont opensource :-)

Par : caus909

caus909 — Tue, 30 Mar 2010 19:47:04 +0000

En fait non, il semblerait qu’effectivement le navigateur vérifie que le code correspond bien à l’autorité de certification correspondante…
Ce qui fait que pour une AC "amateur", il est impossible de délivrer des EVs sauf si on trouve le moyen de modifier le navigateur pour rajouter le code en question…

Par : Peck

Peck — Tue, 30 Mar 2010 19:34:33 +0000

Si l’extension doit aussi être sur le certificat de l’autorité, il suffit d’utiliser la même méthode pour générer celle-ci.

Par : caus909

caus909 — Tue, 30 Mar 2010 19:11:28 +0000

Merci de ta réponse, mais il semblerait qu’il faut que le "code EV" doit-être également présent sur le certificat primaire, mais reste à savoir comment…

Par : Peck

Peck — Fri, 26 Mar 2010 17:12:27 +0000

L’extended validation est lié à une politique de certification. C’est-à-dire que l’autorité doit déclarer utiliser une politique bien précise documentée et référencée par un OID.
Firefox vérifie que le certificat contient la référence vers une de ces politiques ( http://en.wikipedia.org/wiki/Extended_Validation_Certificate#Extended_Validation_certificate_identification ). Mais peut-être qu’il vérifie aussi s’il est signé par l’autorité associée.

Pour faire un test, il faut créer un certificat en suivant http://linux-attitude.fr/post/autorite-de-certification-le-retour et avec une extension du type :
certificatePolicies=2.16.840.1.113733.1.7.23.6

Par : caus909

caus909 — Fri, 26 Mar 2010 16:36:36 +0000

Tutoriel très simple, mais comment faire pour signer des certificats en créant une "green trustbar" (comme pour les Extended Validations)?