Certificats

De Korben Wiki
Aller à : navigation, rechercher

Pour savoir savoir si oui ou non vous pouvez faire confiance à un site internet, les certificats ont été inventés.

C'est très bien expliqué sur Wikpédia et CCM mais je vais vous le résumer ici :

Le cas général

  • Vous demandez une page internet (à un serveur).
  • Le serveur vous envoie un certificat et la page chiffrée.
  • Votre navigateur demande à une autorité de certification (un autre serveur) si le certificat est valide
    • oui : OK, vous êtes sur une page sécurisée, la confiance règne.
    • non : Le navigateur vous dit pourquoi le certificat est invalide et vous bloque l'accès à la page.

En pratique

En payant

La plupart des autorités de certifications délivrent des certificats payants. Il y en a de plusieurs types selon la façon dont le propriétaire d'un site souhaite qu'il apparaisse dans les navigateurs de ses visiteurs (le fameux "cadenas vert" & co). Par ordre ascendant de l'importance des vérifications :

  • Domain-validated certificate (DV), l'autorité de certification délivre un certificat pour un domaine donné après avoir vérifié (souvent automatiquement, en modifiant une entrée DNS ou en plaçant un fichier donné sur un serveur web correspondant au domaine par exemple) que la personne faisant la demande de certificat d'un nom de domaine donné en a bien le contrôle ;
  • Extended Validation Certificate (EV), l'autorité de certification vérifie bien sûr que le demandeur contrôle bien le nom de domaine mais aussi que l'entité à laquelle il est rattaché dans la demande (société commerciale souvent) existe réellement (vérification de registres de commerce, vérification d'identité...). C'est ce type de certificat qui vaut encore le coût d'être payé aujourd'hui si l'on souhaite voir apparaître dans la barre d'URL de Chrome, Firefox et Safari le nom de la société liée au domaine (voir explications par Globalsign) ;
  • Organization validation (OV), mêmes vérifications que pour un EV, mais le nom de l'organisation n'apparait pas dans la barre d'URL des navigateurs principaux, ce qui fait que ce certificat est relativement peu utilisé.

Et sans payer ?

Vous pouvez créer votre certificat maison en le signant vous-même mais il ne sera pas reconnu par le navigateur comme sûr et le navigateur de vos visiteurs affichera de nombreux avertissements que le site n'est pas "sûr" (son certificat ne se trouve pas signé par les différentes racines "de confiance"), toutefois on peut forcer le navigateur à l'accepter malgré les avertissements importants.

Des autorités de certifications gratuites fleurissent comme Startcom, CAcert et plus récemment Let's Encrypt mais elles ne sont pas forcément toutes reconnues par tous les navigateurs en natif. Avec Let's Encrypt il n'est normalement plus nécessaire aujourd'hui de payer pour avoir un certificat DV, à moins de vouloir un wilcard avant fin février 2018)

Startcom

Historiquement, la première autorité de certification à délivrer des certificats gratuitement et reconnus par les navigateurs courants. Le 16 novembre 2017 est annoncé qu'ils ne délivreront plus de nouveaux certificats. Voici, à titre historique, un guide pas-à-pas pour obtenir un certificat SSL gratuit avec StartCom.

CACert

CACert est une Autorité de Certification communautaire qui émet gratuitement des certificats pour tous. La "confiance" de cette autorité unique en son genre vient de notaires (bénévoles) effectuant les différentes vérifications pouvant aboutir à la livraison d'un certificat signé par sa racine. L'inconvénient de ces certificats est qu'ils ne sont pas reconnus par les navigateurs les plus communs sans leur ajouter manuellement la racine de cette autorité. Marche à suivre pour la création d’un certificat CaCert pour vos serveurs.

Let's Encrypt

Autorité de certification gratuite lancée fin 2015, Let's Encrypt délivre des certificats valides (DV) pour les navigateurs sans modification manuelle. Leur seul inconvénient est la nécessité d'automatiser leur renouvellement (via un client ACME comme le standard Certbot) car ils ont une courte date d'expiration de 3 mois après leur création. Néanmoins, une fois le renouvellement automatisé (et vérifié fonctionnel), il n'est plus vraiment nécessaire de s'en soucier.

Guide pratique des certificats SSL.

Voir aussi les articles HTTPS_et_SSL/TLS et Auto-signer son certificat SSL.