Reprise du message précédent :
Un certif auto-signé n'est pas vérifiable, même par celui qui le génére, tu ne vas pas t'amuser a comparer les public key avant de valider la connexion a un site web et donc tu n'as aucun moyen de savoir si la communication n'est pas intercepté. Si la clé vient a changer en cours de navigation la connexion est toujours autorisé ...

On peut ce poser la question de SSH qui lui utilise toujours des certif auto-signé, mais lors d'une première utilisation tu vérifie la clé puis accepte la connexion, si par la suite la clé vient a changer la connexion est rejeté.

---

Métons le "pire des cas", tu utilise un service qui permet la gestion des comptes ftp, lors de l'utilisation de ton service en HTTPS auto-signé tu subit un MITM et bien sur tu ne peut pas t'en rendre compte, il y a probablement un paquet de failles potentiel. Le mec ce connecte ensuite au ftp et la t'as un paquet de failles potentiel aussi. Etc ...

---

Dans un cadre local je dis pas, l'auto-signé c'est parfait, on a même pas forcément besoin si on a pas le wifi et encore.
Mais la son ftp il va étre accessible de l’extérieur, par des app probablement bidon et a un moment il y en a un qui voudra que les photo de tata machin puissent étre accessible a tonton et mamie machin et c'est la que la merde arrive encore plus.

Je ne retrouve plus le texte recherché mais ça ce rapproche de celui la :
L.336-3 du Code de la propriété intellectuelle
« La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise ».

article L.335-7-1 du Code de la propriété intellectuelle
« ... le titulaire d’un abonnement à internet peut voir sa responsabilité pénale engagée au titre de la contravention de négligence caractérisée ... ».

En gros si on utilise ton installation a des fin discutable, pédophilie, téléchargement illégale, DDOS, etc ...
Tu peux avoir ta responsabilité pénale engagée. Alors ok il y a peu de chance, mais je n'irais pas tenter le coup =D

 
Ton "risque légal" c'est la HADOPI, ni plus, ni moins.
 
Après, concernant la possibilité qu'un type essaie de pirater le serv pour uploader du pedo.... AMHA, il court plus de risques en utilisant Windows qu'un certificat auto-signé  

Je vois pas le lien entre HADOPI et le fait que son serveur puisse étre utilisé pour du partage pédo et comme relais d'attaque
 
Il n'y a qu'a voir le nombre de tentatives divers réalisé par des script sur les ip ...

Les textes que tu cites, c'est HADOPI 2.
 
Et l'auto-signé, je ne vois pas en quoi c'est plus dangereux que le classique couple "user/mdp"...
 
De toutes façons, il allait mettre en place un fail2ban, nan ?
 
Nan ?

Bon ... -_-

Je sais pas comment tu fais ton parallèle la, mais c'est issu du "Code de la propriété intellectuelle", alors certe c'est celui qui est utilisé par HADOPI, mais c'est pas eux qui font la loi à proprement parler. De plus j'ai bien indiqué ne plus trouver le texte recherché j'ai donc pris le plus proche.

Tu confonds les certificats utilisé pour le chiffrement des échanges et les méthodes de connections ...

On a tous débuté, donc je vois pas de problème a poser des questions sur ce que les participants de ce sujet on put dire, mais de la a remettre en question alors que tu ne comprends même pas la différences des protocoles ni l'utilité de logiciels comme fail2ban, c'est un peu osé ...

Je pense que tu as déjà du ouvrir un quelconque ordinateur au réseau mondial publique, le problème c'est qu'a mon avis tu n'as jamais regardé tes log ...
Quand j'ouvre à un nouveau serveur, dans l'heure il y a ~10 tentatives de connections ssh en root via plusieurs pays, je te raconte même pas la tronche de tes log pour un serveur httpd par exemple, et on parle que d'un tout petit serveur isolé.

Sans oublier non plus que la loi sur le renseignement est passé, donc pour éviter les boites noires c'est pas par certif auto signé que tu vas te protéger d'un MITM (de qui que ce soit d’ailleurs). Même si je n'ai rien a cacher et que personne ne risque de regarder les données prises par les boites noir a mon sujet, je n'ai pas envie d'offrir ma vie privé sur un plateau.

 
Je re-situe juste de quoi on parle : avoir des ennuis judiciaires parce que son serveur (ftp/whatever) aura servi à héberger du pédo(ou autre truc pas trop légal) sans que l'on s'en rende compte.
Les flics auront 3 voies légales pour agir, l'infraction de pédophilie, la complicité de pédophilie, et la fumeuse absence de sécurisation de la connexion (le texte que tu as donné).
Concernant la pédo et la complicité de pédo, ils devront démontrer ta participation volontaire. Ce qui est loin d'être gagné. En revanche, tu risques bel et bien une perquisition à une heure indue et une garde-à-vue (voir une détention provisoire si le Proc s’appelle Burgaud), ce qui n'est pas rien.
Le défaut de sécurisation de la connexion me parait plus envisageable comme infraction, même si à ma connaissance, il n'a pas encore été utilisé dans cette optique.
 
(of course, ce pavé est à lire avec le sourire    )
 

Je me permet de quoter en détail , car visiblement mes connaissances sont rouillées...
 
Selon moi, le certif auto-signé sert à authentifier le serveur.
Pour chiffrer ou faire une connexion par clé publique, il faut générer une clé dans ce but. La même clé peut bien faire les 2 ? (et en me relisant, ouai, effectivement, je mélange un peu tout...)
 

J'ai pas d'httpd qui tourne chez moi, et mon shh est sur un port non standard avec la box qui fait du NAT.
Par contre, je ne vois pas de quoi tu parles en disant que j'utilise mal fail2ban... 3 connexions ratées sur ssh, c'est un ban de 24h(chez moi)  

Bonjour,
Dans tous les cas tu es donc d'accord il est préférable de ne pas étre impliqué dans ce genre d'affaires
 
Les types et class de certif différent suivant l'utilisation, et la génération n'est pas la même tout comme les informations contenue dans le public, en connexion on va aussi avoir un  un passphrase (hors script) ...
 
Je n'ai pas parlé d'une mauvaise utilisation de Fail2Ban. Mais un serveur peut avoir un grand nombre d'IP. Tu es dans une utilisation spécifique, le créateur de ce sujet reste sur du port 21 et 22. Perso 3 ratée sur mes serveur G/L = 6mois de ban.