Du SSL gratuit pour tous

Le protocole SSL/TLS qui permet de sécuriser les échanges sur internet n’était, majoritairement, mis en oeuvre que par les sites e-commerce ou les sites sensibles. Depuis ces dernières années, on observe une généralisation de son utilisation, notamment depuis que Google a annoncé, fin 2014, qu’il favoriserait le positionnement des sites en HTTPS dans son moteur de recherche. Cet article explique comment obtenir et mettre en place un certificat gratuit pour passer votre site web en HTTPS.

Rapide rappel de ce qu’est SSL/TLS

Par simplicité, nous parlerons dans cet article de SSL/TLS sans distinction entre SSL ou TLS. Si vous voulez en savoir plus, consultez la page suivante.

Afin de mettre en place SSL/TLS, vous devez, d’une part, générer un certificat qui identifiera de manière unique votre serveur. Vous devez ensuite faire signer ce certificat par une autorité de certification qui va agir comme un tiers de confiance et ainsi assurer la validité de ce certificat.

Les échanges opérés lorsqu’un utilisateur accédera à votre site peuvent être résumés ainsi:
Schema simplifié SSL

Mise en garde

Ce schéma représente une vulgarisation volontaire des échanges dans le but de simplifier grandement les détails du protocole (qui ne sont pas l’objet de cet article).

Pour résumé, un certificat SSL permet de :

  • Garantir « l’identité » du serveur
  • Sécuriser les informations échangées entre le serveur web et vous
  • Garantir que les informations ne peuvent pas être interceptées et lues par un tiers
  • Garantir que les informations ne peuvent pas être interceptées et modifiées par un tiers

La généralisation de la mise en oeuvre de SSL est une très bonne chose qui va permettre d’accroître la sécurité des données échangées sur Internet et donc de rendre le web plus sûr.

Les types de certificats

Quand vous mettez en place un certificat SSL/TLS vous avez plusieurs types de certificats possibles en fonction du niveau de validation effectué par l’autorité de certification:

  • Certificat DV / Domain Validation
    L’autorité de certification valide uniquement que le serveur auquel est « attaché » le certificat correspond bien au nom de domaine indiqué dans le certificat.
    Pour l’internaute, le site web est affiché, précédé de « https » et d’un cadenas.
  • Certificat OV / Organization Validation
    Lors de sa création, vous devez préciser le nom de la société attachée au certificat. L’autorité de certification contrôlera ensuite que le nom de domaine est bien attaché à la société et que la société existe réellement.
    Pour l’internaute, l’affichage est assez similaire au certificat DV.
  • Certificat EV / Extended Validation
    Il s’agit du type de certificat le plus exigeant mais également le plus rassurant pour les internautes car lors de sa validation, en plus de vérifier la véracité de la société, l’autorité de certification effectue également une vérification du responsable de la société.
    Pour l’internaute, l’affichage est similaire aux autres types de certificat avec, comme grande différence, l’ajout du nom de la société clairement visible dans une bande verte à côté du cadenas.
En résumé

On peut simplifier l’offre existante des certificats en la résumant ainsi:
– Des certificats EV mis en place pour les sites d’e-commerce et les sites sensibles
– Des certificats DV de plus en plus mis en place pour tous les autres sites web

Un certificat gratuit avec Letsencrypt

Letsencrypt est une autorité de certification qui fournit des certificats DV. Les principaux intérêts de passer par Letsencrypt pour obtenir et valider votre certificat sont:

  • qu’elle est supportée par les géants du web
  • qu’elle est reconnue par tous les navigateurs récents
  • qu’elle intègre une gestion (semi)automatisée pour l’installation et le renouvellement du certificat
  • et surtout, qu’elle est gratuite !
Limitations

Un certificat généré par Letsencrypt est cependant contraint par les limites suivantes:
– il n’est valable que 90 jours contre 1 an pour les autres autorités (mais son renouvellement peut être automatisé)
– il ne peut concerner que 1 seul domaine (pas de wildcard: *.stino.fr, par exemple)

Mise en place d’un certificat Letsencrypt

L’installation du certificat Letsencrypt ainsi que la configuration de votre serveur web (Apache, par exemple) sont semi-automatisées. Commencez par consulter la page suivante.
Letsencrypt propose l’utilisation de l’outil certbot pour installer, configurer et renouveler votre certificat.
Vous trouverez toutes les instructions en fonction de votre OS ainsi que de votre serveur web sur la page Certbot.

A titre d’exemple de la simplicité de mise en oeuvre, dans le cas d’un serveur Debian et d’un serveur Apache, l’installation de l’outil se résume ainsi:
[code lang= »bash »]
sudo apt-get install python-certbot-apache -t jessie-backports
[/code]

Et l’installation du certificat est effectuée par la seule commande:
[code lang= »bash »]
sudo certbot –apache
[/code]
Si plusieurs vhost sont gérés par votre serveur, l’outil vous demandera lequel vous voulez configurer.

Comme précisé plus haut, le certificat généré n’est valable que pendant 90 jours. Vous devez donc planifier sont renouvellement dans la crontab.
[code lang= »bash »]
sudo crontab -e
mm hh * * * /root/certbot-auto renew –quiet –no-self-upgrade
[/code]
Choisissez une valeur de hh et mm (heure et minute) aléatoire afin que la charge des serveurs de Letsencrypt soit répartie dans le temps. Vous noterez que la demande de renouvellement est effectuée tous les jours. En effet, c’est ce qui est préconisé par Letsencrypt, sachant que le certificat ne sera pas renouvelé s’il est toujours valide.

Vous pouvez tester la validité et la qualité de votre certificat en utilisant le formulaire suivant sur SslLabs.

Conclusion

Poussée par Google depuis plusieurs années, la généralisation des certificats SSL pour tous les sites web est une démarche positive qui conduira, en sécurisant tous les échanges, à rendre le web plus sûr. Dans ce contexte, Letsencrypt est une bonne alternative aux autorités de certification historiques. Malgré ses limitations, il permet de rapidement, sûrement et gratuitement mettre en place un certificat DV single-domain.

 

Vous souhaitez être accompagné ?

Nous pouvons vous aider dans la mise en place de SSL et, plus généralement, tous travaux d’installation et de configuration de vos environnements serveurs.
Pour prendre contact, cliquez sur le bouton ci-dessous…

Contact