Bonjour à tous !

J'ai une question qui va peut-être paraitre naïve ou évidente, mais :

Comment faire pour créer une connexion sécurisé sur son son propre site internet ? Je m'explique, j'aimerais créer une partie fortement sécurisée, qui afficherai des données sensibles, mais je n'ai aucune idée de comment procéder pour crypter ces pages, comme on trouve par exemple sur le site d'une banque.

Alors ceci n'est peut-être pas possible sur un hébergement mutualisé, il y a surement quelquechose à installer, alors si quelqu'un pouvait m'éclairer un peu sur tout ça, je vous en remercie d'avance !

ATTENTION, je ne vous parle pas d'un espace sécurisé PHP, ça je sais faire il n'ya pas de problème

Ban le SSL, ça se configure sur le serveur.

Donc sur un mutualisé tu ne pourras rien faire. Mais des fois les hébergeurs propose une connexion ssl en mutualisé aussi.

Par contre il faut savoir que l'url ne sera pas https://www.ton-nom-de-domaine.com mais https://ssl.herbergeur.com.ton-compte/

Car les certificats ssl coutent assez cher, donc les hébergeurs mutualisés ne peuvent pas fournir le ssl avec ton nom de domaine.

Combien coute un certificat ssl ? Qui les vend ?

tu peux t'en faire avec openSSL mais ils ne seront pas certifie par une autorite. Sinon Verisign ou d'autres companies en fournissent des payant. Sinon tu as aussi http://www.cacert.org/ qui a pour but d'en fournir des gratuits.

Je sais tout ca ... mais ca m'interesse de savoir combien les commerciaux vendent ca ..

Ben va voir sur les sites...

ok merci pour la réponse !

Le 23 janvier 2006 - 02 h 54, kha a écrit : Ben va voir sur les sites...

Je voulais juste une idee du niveau de prix qu'un intervenant ici disait assez cher .. si c'est pour me sortir ca, tu pouvais t'abstenir.

Le 22 janvier 2006 - 23 h 19, iraysyvalo a écrit : Je sais tout ca ... mais ca m'interesse de savoir combien les commerciaux vendent ca ..

vla l'info... ca fait pas marrer
http://www.verisign.fr/products-services/security-services/ssl/buy-ssl-certificates/secure-site-pro-ssl-certificates/index.html

Je me demande ce qu'ils vendent au final .. la marque certainement, mais quoi d'autres ?

Le fait de ne pas avoir besoin de cliquer tout le temps sur "je fais confiance"

Le 25 janvier 2006 - 16 h 57, Erel69 a écrit : Le fait de ne pas avoir besoin de cliquer tout le temps sur "je fais confiance"

meme avec un certificat fait avec openssl tu peux l'accepter pour toujours ....
c'est plutot pour lire dans la fenetre du certificat qu'il a ete cree et verifie pas verimachin etc... plutot que creer par toto est pas verifier

Le 25 janvier 2006 - 21 h 14, sectos a écrit : Le 25 janvier 2006 - 16 h 57, Erel69 a écrit : Le fait de ne pas avoir besoin de cliquer tout le temps sur "je fais confiance" meme avec un certificat fait avec openssl tu peux l'accepter pour toujours .... c'est plutot pour lire dans la fenetre du certificat qu'il a ete cree et verifie pas verimachin etc... plutot que creer par toto est pas verifier

Mais qu'est-ce qu'ils verifient ???

Le 25 janvier 2006 - 22 h 41, iraysyvalo a écrit : Le 25 janvier 2006 - 21 h 14, sectos a écrit : Le 25 janvier 2006 - 16 h 57, Erel69 a écrit : Le fait de ne pas avoir besoin de cliquer tout le temps sur "je fais confiance" meme avec un certificat fait avec openssl tu peux l'accepter pour toujours .... c'est plutot pour lire dans la fenetre du certificat qu'il a ete cree et verifie pas verimachin etc... plutot que creer par toto est pas verifier Mais qu'est-ce qu'ils verifient ???

une chaine de certification
en gros t'as un certificat racine qui reste chez eux et ils te filent un certificat qui est verifie par rapport a cette racine (automatiquement par le browser ou programatiquement par applet etc...) via le net ou via le magasin de certificats racines installes dans windows : le client final peut donc faire confiance a ce site parce que garanti par un organisme tiers de confiance

il me semble que normalement cette chaine doit quand meme comporter au moins un certificat intermediaire entre la racine et le cert final mais en realite c'est pas tjs le cas : a xxxx€ ca doit etre trop cher de creer un cert intermediaire

l'autre possibilite, openssl, quand tu crees un cert avec openssl, en principe il faut aussi l'auto-autentifie, donc en gros tu peux tres bien l'utiliser pour verifier que le site corrrespond bien a ce cert, mais tu peux pas verifier qu'il a ete fourni par un tiers de confiance et donc le cert en soit n'est pas "bon". maintenant si tu es sur de la provenance du cert tu peux l'installer une bonne fois pour toute dans le mag de win et mise a part un chtit warning/erreur dans la fenetre de properties du cert, tout sera pareil mais en gratuit:)

ce qui serait marrant c'est de savoir combien une societe paye pour pouvoir devenir un tiers de confiance

PS: desole pour l'explication liée à bilou mais je sais pas comment les magasins de certificats racine sont geres sous nux

Ma question etait bien, qu'est-ce qu'ils verifient ?

Puisqu'OK, je paie les frais pour faire un certificat chez eux. OK, j'ai un certificat certifie chez eux (tiers de confiance, la ca change de l'auto-certification, certes). Le probleme est qu'a part que le certificat m'appartient bien, l'utilisateur de mon site n'est toujours pas garanti que je sois bien celui que je pretends etre, par exemple.

PS : Ce que je veux dire par rapport a ta reponse, c'est que si leur service se limite a la chaine de certification, c'est bien limite.

Le 25 janvier 2006 - 23 h 31, iraysyvalo a écrit : Ma question etait bien, qu'est-ce qu'ils verifient ? Puisqu'OK, je paie les frais pour faire un certificat chez eux. OK, j'ai un certificat certifie chez eux (tiers de confiance, la ca change de l'auto-certification, certes). Le probleme est qu'a part que le certificat m'appartient bien, l'utilisateur de mon site n'est toujours pas garanti que je sois bien celui que je pretends etre, par exemple.

ben si parce que ton certificat sera bien verifie par rapport a son magasin personnel des certificats racine, et si il a bien un certificat racine qui l'authetifie il y a quand meme plus de chance que le cert soit bon (sauf si t'as pirate sa machine et installe un certificat racine dans son mag...)
par contre si c'est un certificat genere avec openssl tout ce qu'il sait ce que tu t'es donne la peine de creer ton propre cert...
et de plus s'il te fait confiance de permettre le lancement des jolies saloperies comme activex et applet avec plus de droits

ca repond a ta question ou je comprend pas ce que tu demandes?

Edit :
"PS : Ce que je veux dire par rapport a ta reponse, c'est que si leur service se limite a la chaine de certification, c'est bien limite."
non, ils offrent un service certe payant mais ils sont supposes etre en dehors de toute mauvaise intention et donc cette verification devrait contenter meme le plus paranos...maintenant en realite leur prix est assez sale par rapport a l'avantage apporte

Le cert est bon, certes certifie bon par un tiers de confiance meme, mais si les services de ce dernier se sont limites a ce 'certifie bon', ca n'identifie pas surement celui qui possede le cert ..

Pour reprendre tes termes, tout ce que le visiteur sait, c'est que tu as pris la peine+tu as paye pour avoir un certifiat valide par un tiers mais comme il te fait confiance automatiquement apres le blanc-seeing du certificateur, les joyeusetes peuvent arriver.

Le 25 janvier 2006 - 23 h 47, iraysyvalo a écrit : Le cert est bon, certes certifie bon par un tiers de confiance meme, mais si les services de ce dernier se sont limites a ce 'certifie bon', ca n'identifie pas surement celui qui possede le cert .. Pour reprendre tes termes, tout ce que le visiteur sait, c'est que tu as pris la peine+tu as paye pour avoir un certifiat valide par un tiers mais comme il te fait confiance automatiquement apres le blanc-seeing du certificateur, les joyeusetes peuvent arriver.

ben, le tiers certifie bien que t'es celui que tu pretends etre
a mon avis aucun tiers de confiance ne te vendra un certificat qui ateste que tu es jennifer de starcac sans le prouve avec de la bonne vieille paperasse
plus generalement je pense pas que ce genre de certificat s'achete par web en utilisant un pseudo bidon ...

Mais vu les techniques de phishing actuelles ..

La vieille paperasse, c'est ce qu'on a falsifie depuis toujours aussi, donc ..

Mais bon, on est d'accord, faire payer ce service a ce niveau c'est fonctionnellement nawak .. mais comme j'ai dit plus haut aussi, la marque doit etre pour beaucoup aussi dans ce prix.

Le 26 janvier 2006 - 00 h 04, iraysyvalo a écrit : Mais vu les techniques de phishing actuelles .. La vieille paperasse, c'est ce qu'on a falsifie depuis toujours aussi, donc .. Mais bon, on est d'accord, faire payer ce service a ce niveau c'est fonctionnellement nawak .. mais comme j'ai dit plus haut aussi, la marque doit etre pour beaucoup aussi dans ce prix.

surement
perso, mise a part les boites qui pour une raison x ou y (genre contrat avec l'etat qui paye pour les certs) la plupart du temps j'ai vu des certes autoauthentifier