Bonjour,
est-il possible de faire une authentification forte (donc client) mais sans vérifier la chaîne de certification du certificat ?
Merci
Bonjour,
est-il possible de faire une authentification forte (donc client) mais sans vérifier la chaîne de certification du certificat ?
Merci
Tu veux dire quoi par "sans vérifier la chaîne de certification du certificat" ? Pour que le serveur accepte le certificat, il faut qu'il connaisse l'émetteur du certificat (le CA). Je ne pense pas que ce soit possible à contourner, si ce n'est à recompiler un certain nombre de choses, je pense : ce n'est plus de l'authentification forte si tout le monde peut se connecter avec un certificat bidon qu'on ne peut pas croire !
Ouai mais je ne saouhaite pas que ce soit apache qui filtre les certificats mais moi (en php)...
Là, je ne peux pas répondre. Je doute juste que ce soit possible car SSL/TLS intervient entre TCP et HTTP, alors que PHP intervient après PHP. Ce que je veux dire c'est que PHP sera "déclanché" par Apache après que la liaison SSL sera établie donc après vérification du certificat client.
Apparemment ça fonctionne avec SSLVerifyClient optional_no_ca dans la configuration SSl (http://www.modssl.org/docs/2.8/ssl_reference.html)
On en apprend tous les jours
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager