Discussion :

[slyz0r]

Bonjour à tous,

Nous avons au boulot une application Java maison que nos clients peuvent atteindre via webservices (SOAP). Actuellement, ils arrivent à atteindre ces web services via le port 80 en HTTP et sur le port 443 en HTTPS mais sans chiffrement (juste l'authenticité du serveur).

J'aimerais maintenant chiffrer les communications ? Je ne comprends pas vraiment bien le principe... Dois-je fournir des certificats à mes clients afin qu'ils chiffrent leur communication ? Comment cela fonctionnent sur Facebook par exemple ? Ils permettent le chiffrement des flux en HTTPS mais je n'ai jamais dû télécharger de certificat ?

Je demande juste un éclaircissement, histoire de me mettre sur la bonne voie !

Merci d'avance à tous,

[slyz0r]

Ok, autant pour moi... Je suis allé revoir la théorie lol...

Le serveur fourni la clé publique, le client la récupère, chiffre son message et le serveur le déchiffre avec sa clé privée ! Pas de clé propre au client !

Correct ?

[_Mac_]

Si, le client fourni forcément aussi sa clé publique, mais les 3/4 du temps elle est dynamique (elle est calculée par le client au moment de l'établissement du canal SSL). Ce n'est que dans le cas d'une authentification cliente forte (avec certificat installé dans le navigateur) que la clé publique est fixe.

Est-ce que cette réponse suffit ? Quelle est la question, en fait ?

[slyz0r]

Ok, là je comprends mieux. Merci déjà pour ce début de réponse.

Si je comprends bien, dans le cas d'un site web (comme Facebook par ex), la plus part du temps le navigateur calcule une clé publique dynamiquement.

Mais dans le cas des web services, j'ai un client qui utilise un script PERL pour lancer ses appels. Dans ce cas précis, existe-t-il une méthode en PERL pour calculer dynamiquement une clé publique ? Est-on obligé dans ce cas de passer par une authentification forte ?

Le PERL n'est qu'un exemple, j'ai des clients qui ont développé de petites applications en JAVA aussi...

Merci d'avance !

[_Mac_]

Pour Perl, aucune idée. De manière générale, tout dépend du client utilisé. S'il supporte HTTPS, il y a des chances qu'il y ait ce qu'il faut pour calculer des clés dynamiques.