cerhu > linux.debian.user.french

Jack.R (20/01/2019, 21h20)
Bonjour,

J'utilise des contrôleurs d'équipements industriels qui ont une base
Debian Stretch customisée par le fabriquant de la carte CPU.
Ces équipements embarquent un certain nombre de services (serveur
web, serveur ssh, serveur FTP, ...)
Certaines connexions sont chiffrées en SSL avec un certificat
auto-signé.
Les versions actuelles de navigateurs (firefox, chrome, ...)
déclenchent systématiquement un avertissement, il faut mettre une
exception et, si c'est faisable, la rendre permanente.

Imaginez que vous êtes l'opérateur qui tous les matins démarre sa
machine avec une belle interface web et qui doit créer/accepter
l'exception pour un certificat auto-signé dont il n'a pas la moindre
idée de ce que c'est.

Je cherche un moyen de mettre un certificat (ou une chaîne) valide et
reconnu par les navigateurs comme de confiance.

Une solution style let's encrypt (certbot) ne me semble pas valide car:
- les équipements n'ont pas de connexion avec internet (impossible de
renouveler le certificat),
- l'ip et le nom de machine sont définis par l'utilisateur final et en
fonction du secteur d'installation il peut même y avoir du DHCP,
- les équipements ne sont pas forcément reliés au réseau usine (pas de
possibilité d'utiliser un serveur interne avec une chaîne de
certificats),
- dans la même machine, je peux avoir plusieurs de ces équipements
(impossible d'avoir un nom de machine/domaine -fqdn- identique)

mkcert comme utilisé ici:
[..]
ne cadre pas car le navigateur n'est pas nécessairement celui embarqué
par l'équipement, on peut effectuer un accès distant pour un écran
déporté affichant par exemple le status de l'équipement.

Si certains ont des pistes de recherches, je suis preneur car mes
recherches avec "trusted certificat industrial equipment" et un
apt-cache search certificate ne me retourne pas de résultat qui me
semblent intéressants.

Rassurez-moi, les éditeurs de navigateur ont bien pensé à cecas de
figure lorsqu'ils on décidé "d'imposer" HTTPS et TLS?
Je me pose la question lorsque je lis la portion "For native apps
talking to web apps" de:
[..]
Pierre Malard (21/01/2019, 09h00)
Bonjour,

Le comportement de ces navigateur est logique avec la philosophie
d?une connexion sécurisée par une autorité. Celle-ci doit être
reconnue pour assurer la confidentialité des échanges. La plupart
des utilisateurs/constructeurs laissent le certificat « snake oil »
de base mais, par évidence, ce système ne peut être considéré
comme sûr.

Une réponse certainement bête mais ? avez-vous demandé au constructeur
de ces équipement s?il n?était pas possesseur d?un vrai certificat ?
Visiblement, c?est lui qui impose l?utilisation d?un traitement par
certificat, qu?il propose donc une solution certifiée.

Une autre solution puisque vous dites que la machine n?est pas sur
un réseau connecté : passer sur une connexion sans cryptage. Ce ne
sera pas moins sûr que le certificat de base et si cet équipement
est réellement isolé, cela ne présente pas véritablement de danger
à moins d?être directement et physiquement connectédessus, donc
à côté.

Autre solution si vous avez accès à la configuration de la machine,
est-ce que vous ne pouvez pas y coller un certificat d?autoritéet
le faire reconnaître une fois pour toute par le navigateur (Chrome,
Firefox) pour qu?il cesse de vous em? ?

Cordialement
[..]
Jack.R (21/01/2019, 10h00)
Le Mon, 21 Jan 2019 07:51:46 +0100,
Pierre Malard <plm> a écrit :

[..]
> est réellement isolé, cela ne présente pas véritablement de danger
> à moins d?être directement et physiquement connecté dessus, donc
> à côté.
> Autre solution si vous avez accès à la configuration de la machine,
> est-ce que vous ne pouvez pas y coller un certificat d?autorité et
> le faire reconnaître une fois pour toute par le navigateur (Chrome,
> Firefox) pour qu?il cesse de vous em? ?
> Cordialement


Bonjour,

La réponse actuelle du/des constructeur(s) est le certificat auto-signé
car il ne leur semble pas possible d'avoir un vrai certificat sur des
équipements dont ils ne maitrisent ni le nom de machine ni l'IP,
d'où ma recherche pour essayer de voir s'il n'y a pas malgré tout
une solution.

J'ai un accès partiel au système, certaines applications ne
permettent pas de passer hors HTTPS/SSL. Je comprend bien que les
constructeurs ne souhaitent pas, par exemple, que les identifiants
permettant d'interagir avec l?équipement passent en clair sur un
réseau quel qu'il soit.

Y coller un certificat d'autorité est bien mon idée sauf que je me
heurte (connaissance insuffisante de ma part) à:
comment je fais pour créer un certificat d'autorité pour un équipement
où nom de domaine, nom de machine, IP peuvent varier ?
Pour moi, de ce que j'ai compris, je dois en créer un à chaque fois que
l'équipement change de nom de domaine, de nom de machine, d'ip.
J'avais pensé à la création à la volée via lets encrypt (ou autre) mais
dans ce cas j'ai besoin d'une connexion internet et d'un renouvellement
régulier sur chaque équipements.

Autre idée, avoir un nom de machine unique et non modifiable par
l'opérateur (je force un alias sur 127.0.0.1 par exemple) sur lequel je
pourrais créer ce certificat d'autorité qui serait reconnu comme de
confiance par les navigateurs mais je n'arrive pas à voir comment créer
cela pour plusieurs centaines d'équipements (gestion, coût), d'où mon
message.
Un certificat *.mondomaine me semblant absurde et contraire à l'idée du
chiffrement.

Cordialement
Discussions similaires
La confiance des industriels et le moral des ménages en hausse

Le certificat de confiance directe a expiré

réseaux de confiance OpenPGP : comment gérer la confiance ?

automatismes industriels


Fuseau horaire GMT +2. Il est actuellement 20h29. | Privacy Policy