adresse https

Let’s Encrypt, le SSL facile ! … et gratuit !

Un certificat SSL permet d’authentifier et sécuriser les connexions entre un navigateur et un site internet. C’est ce petit cadenas vert, devant les adresses https://, nous rassurant sur l’identité du site que nous visitons. Pour garantir cette information, il doit être signé par une autorité de certifications. L’intérêt est d’informer l’utilisateur que les informations qu’il envoie et reçoit sont cryptées et ne sont pas déchiffrables par une tierce personne. Le certificat demande la signature d’une autorité de certifications reconnue qui s’occupe de vérifier l’identité du site. Jusqu’à présent, ce service était généralement payant hormis StartSSL qui proposait une solution gratuite, mais parfois un peu fastidieuse à mettre en place. Let’s Encrypt est une initiative soutenue par de nombreux sponsors qui propose de délivrer des certificats de façon simple, rapide et gratuite. Le service a ouvert en bêta test depuis le 3 décembre.

Installer Let’s Encrypt

Pour ça rien de plus simple, seul pré-requis Git :

Ensuite on se place n’importe où :

Il suffit d’aller dans le répertoire et de finir d’installer toutes les dépendances.

Maintenant générons un certificat, il existe un module de let’s encrypt qui configure automatiquement apache, je préfère la méthode manuelle qui sera la même quelque soit votre serveur (apache, nginx …) mais pour cela nous devons d’abord éteindre notre serveur quelques instant (je vous rassure cela sera très rapide !)

Et enfin

Maintenant plus qu’à saisir une adresse email (valide de préférence !), accepter les termes d’utilisation et enfin le domaine (ou sous-domaine) pour lequel vous souhaitez générer un certificat. Je précise que ce domaine doit pointer vers le serveur actuel (en effet, Let’s encrypt va vérifier que votre serveur héberge bien ce domaine)

Et vous voilà avec votre certificat et sa clé dans votre répertoire /etc/letsencrypt/live/{{mondomaine}}

Il ne vous reste plus qu’à ajouter cela à votre configuration dans apache2 par exemple :

Et on redémarre apache :

Et voila notre site pointe désormais vers https://mondomaine.tld avec un joli cadenas vert!

La fin des SSL payant?

Déjà il existe différents certificats offrant plusieurs niveaux de vérifications de la part de l’autorité de certification. Comme vous pouvez le constater let’s encrypt vérifie uniquement que le domaine pour lequel vous demandez le certificat pointe bien vers le serveur sur lequel vous faites la demande. À aucun moment l’identité de la personne ou de l’entreprise ne sera vérifiée !

Ensuite à l’heure actuelle nous sommes obligés de créer un certificat par domaine et sous domaine !

Le certificat est valable 3 mois, il faudra mettre en place un script pour renouveler automatiquement nos certificats. Un exemple est proposé sur le site.

Vers un web ENTIÈREMENT en https ?

C’est justement là toute la question. Comme nous l’avons vu, un certificat SSL nous assure une connexion sécurisée avec le site, mais certains certificats ne nous informent pas sur le propriétaire de ce site. Une personne mal intentionnée peut tout à fait utiliser un nom de domaine évoquant une marque reconnue, proposer un site en HTTPS inspirant la confiance, et utiliser les informations que vous lui envoyez de façon malhonnête.

La confiance des navigateurs pour un certificat repose sur l’autorité de certification qui le délivre. L’abus d’un service tel que Let’s Encrypt par des personnes voulant abuser de la confiance d’autrui pourrait amené à mettre en doute l’ensemble des certificats émis par ce service…

Heureusement, le projet Let’s Encrypt est un projet soutenu par d’importants acteurs d’internet (Mozilla, Chrome, Ovh et bien d’autres…). Il est raisonnable de penser que tout sera mis en place pour garder la confiance envers leurs certificats.

Pour en savoir plus sur le projet Let’s Encrypt et leur service : https://letsencrypt.org.

Let's Encrypt Logo

Start a Conversation

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *