Le protocole SSL/TLS qui permet de sécuriser les échanges sur internet n’était, majoritairement, mis en oeuvre que par les sites e-commerce ou les sites sensibles. Depuis ces dernières années, on observe une généralisation de son utilisation, notamment depuis que Google a annoncé, fin 2014, qu’il favoriserait le positionnement des sites en HTTPS dans son moteur de recherche. Cet article explique comment obtenir et mettre en place un certificat gratuit pour passer votre site web en HTTPS.
Par simplicité, nous parlerons dans cet article de SSL/TLS sans distinction entre SSL ou TLS. Si vous voulez en savoir plus, consultez la page suivante.
Afin de mettre en place SSL/TLS, vous devez, d’une part, générer un certificat qui identifiera de manière unique votre serveur. Vous devez ensuite faire signer ce certificat par une autorité de certification qui va agir comme un tiers de confiance et ainsi assurer la validité de ce certificat.
Les échanges opérés lorsqu’un utilisateur accédera à votre site peuvent être résumés ainsi:
Ce schéma représente une vulgarisation volontaire des échanges dans le but de simplifier grandement les détails du protocole (qui ne sont pas l’objet de cet article).
Pour résumé, un certificat SSL permet de :
La généralisation de la mise en oeuvre de SSL est une très bonne chose qui va permettre d’accroître la sécurité des données échangées sur Internet et donc de rendre le web plus sûr.
Quand vous mettez en place un certificat SSL/TLS vous avez plusieurs types de certificats possibles en fonction du niveau de validation effectué par l’autorité de certification:
On peut simplifier l’offre existante des certificats en la résumant ainsi:
– Des certificats EV mis en place pour les sites d’e-commerce et les sites sensibles
– Des certificats DV de plus en plus mis en place pour tous les autres sites web
Letsencrypt est une autorité de certification qui fournit des certificats DV. Les principaux intérêts de passer par Letsencrypt pour obtenir et valider votre certificat sont:
Un certificat généré par Letsencrypt est cependant contraint par les limites suivantes:
– il n’est valable que 90 jours contre 1 an pour les autres autorités (mais son renouvellement peut être automatisé)
– il ne peut concerner que 1 seul domaine (pas de wildcard: *.stino.fr, par exemple)
L’installation du certificat Letsencrypt ainsi que la configuration de votre serveur web (Apache, par exemple) sont semi-automatisées. Commencez par consulter la page suivante.
Letsencrypt propose l’utilisation de l’outil certbot pour installer, configurer et renouveler votre certificat.
Vous trouverez toutes les instructions en fonction de votre OS ainsi que de votre serveur web sur la page Certbot.
A titre d’exemple de la simplicité de mise en oeuvre, dans le cas d’un serveur Debian et d’un serveur Apache, l’installation de l’outil se résume ainsi:
[code lang= »bash »]
sudo apt-get install python-certbot-apache -t jessie-backports
[/code]
Et l’installation du certificat est effectuée par la seule commande:
[code lang= »bash »]
sudo certbot –apache
[/code]
Si plusieurs vhost sont gérés par votre serveur, l’outil vous demandera lequel vous voulez configurer.
Comme précisé plus haut, le certificat généré n’est valable que pendant 90 jours. Vous devez donc planifier sont renouvellement dans la crontab.
[code lang= »bash »]
sudo crontab -e
mm hh * * * /root/certbot-auto renew –quiet –no-self-upgrade
[/code]
Choisissez une valeur de hh et mm (heure et minute) aléatoire afin que la charge des serveurs de Letsencrypt soit répartie dans le temps. Vous noterez que la demande de renouvellement est effectuée tous les jours. En effet, c’est ce qui est préconisé par Letsencrypt, sachant que le certificat ne sera pas renouvelé s’il est toujours valide.
Vous pouvez tester la validité et la qualité de votre certificat en utilisant le formulaire suivant sur SslLabs.
Poussée par Google depuis plusieurs années, la généralisation des certificats SSL pour tous les sites web est une démarche positive qui conduira, en sécurisant tous les échanges, à rendre le web plus sûr. Dans ce contexte, Letsencrypt est une bonne alternative aux autorités de certification historiques. Malgré ses limitations, il permet de rapidement, sûrement et gratuitement mettre en place un certificat DV single-domain.
Nous pouvons vous aider dans la mise en place de SSL et, plus généralement, tous travaux d’installation et de configuration de vos environnements serveurs.
Vous souhaitez être accompagné ?
Pour prendre contact, cliquez sur le bouton ci-dessous…