Outils du site

fr:https_ssl
Cette page est noté comme étant en brouillon. Votre participation pour l'améliorer est requise !

Https et certificat ssl

Cet article est en brouillon et contient des informations fragmentaires. Si vous en avez l'occasion, complétez-le, ajoutez des liens vers des pages mieux fournies.

Prenez avec précaution les informations contenues ici et vérifiez.

Pourquoi https ?

Lorsque vous vous rendez sur un site internet, un flux de données circulent entre votre ordinateur et celui du serveur où le site est hébergé. Pour certains sites, ça n'a pas grande importance que ce flux soit lisible par tous, mais à partir du moment où vous devez entrer un mot de passe, vous devriez passer par le protocole “https” qui garantit que les échanges entre vous et le serveur sont chiffrés. Donc, que les échanges ne sont pas faciles à espionner.

Installer un certificat auto-signé

Un certificat auto-signé va générer une alerte sur tout navigateur sérieux. Le certificat installé est très basique et sert uniquement sur un serveur de test pour des tests autour de https. Il ne sera reconnu par aucune autorité.

Il existe à présent Let's encrypt, qui vous fournit gratuitement un certificat reconnu. À l'heure où ces lignes sont écrites, il est encore en version bêta, pas exempt de défauts mais fonctionnel et donc à privilégier. Voir plus bas.

Le certificat auto-signé peut tout de même présenter un peu d'intérêt, en local ou si on travaille dans une vm sans accès web. Mais PAS en production.

En root

Installer le paquet ssl-cert. Il va installer un certificat pré-configuré pour le serveur sur lequel il est installé.

Vérifier que dans /etc/apache2/sites-available/default-ssl.conf, les options SSLCertificateKeyFile et SSLCertificateFile pointent vers le certificat

SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Activer la prise en charge de SSL :

a2ensite default-ssl
a2enmod ssl
service apache2 restart

Pour plus de détails sur l'installation d'un certificat auto-signé, si on souhaite utiliser une méthode moins “clé en main” :

Let's Encrypt

Créer un certificat avec Let's encrypt, c'est très simple !™

Tout d'abord, se placer sur un compte utilisateur et récupérer le client Let's Encrypt (désormais appelé CertBot) :

git clone https://github.com/certbot/certbot

et se placer dans le répertoire certbot.

lancer le client :

cd certbot
sudo ./certbot-auto 

Les certificats se retrouvent dans /etc/letsencrypt/live/ une fois que le client a fini. Il pose quelques questions, notamment un email pour recevoir des notifications, et les noms de domaines pour lesquels on veut un certificat.

Il demande aussi si on veut ou non une redirection automatique de http vers https. Permettez https partout, c'est plus sérieux.

Il n'y a plus qu'a configurer apache2 avec ces certificats. Il a prévu un fichier de configuration avec ce qui existait déjà, vérifiez qu'il convient. A priori tout ceci se finalise tout seul et il n'y a rien d'autre à faire désormais pour que ça marche, mais si vous visez le A+ il y aura quelques modifications à faire (listées plus bas).

Pour ce qui doit apparaître dans chacun des vhosts (/etc/apache2/site-enabled/MONSITE-le-ssl.conf), voir la configuration sécurisée d'Apache.

Sous-domaines et domaines différents sur la même machine

Pour que Let's encrypt puisse générer un certificat pour tous les domaines hébergés sur le serveur, il vaut mieux faire un fichier par vhost dans Apache. Faites uniquement les versions non sécurisées (port 80), let's encrypt génère automatiquement les versions sécurisées (port 443, soit le “https”). Vous pouvez désactiver les versions non sécurisées ensuite.

Let's encrypt semble repérer correctement les sous domaines dans le même fichier (nom1.mondomaine.com, nom2.mondomaine.com, etc.)1), mais pas les noms de domaines différents (mondomaine.com et mondomaine2.com par exemple), qui doivent impérativement être dans deux fichiers de configuration différents.

Connaître la date d'expiration de son certificat let's encrypt

Actuellement, la durée des certificats délivrés par let's encrypt est très courte : 90 jours. Vous recevrez un mail à l'adresse renseignée lors de la création du certificat, mais si vous avez beaucoup de domaines à gérer et que vous ne faites pas le tri dans les mails de temps en temps, comment savoir si vous avez déjà renouvelé ou pas ?

Voici un script inspiré de celui-là2), qui s'adapte à tous les certificats :

check_cert.sh
#!/bin/bash
 
set -euo pipefail
IFS=$'\n\t'
 
 
error() {
msg="$1"
>&2 echo "$msg"
exit 1
}
 
test $# -eq 0 && error "Usage: $0 <certificate_file>"
 
FILE="$1"
test ! -f "$FILE" && error "$FILE: file not found."
 
EXPIRE_DATE=$(openssl x509 -in "$FILE" -noout -enddate | cut -f2 -d=);
 
echo "Certificate file: $FILE";
echo "Expiration date: $EXPIRE_DATE";
 
exit 0;

Copiez ça dans un fichier check_cert.sh puis lancez la commande suivante

./check_cert.sh /etc/letsencrypt/live/monsite.net/cert.pem

À adapter suivant où le certificat est stocké.

Renouveler le certificat

Pour renouveler le certificat, il suffit de lancer la même commande que pour l'installer :

cd letsencrypt
sudo ./certbot-auto 

Pour renouveler tout automatiquement, sans interaction, la commande suivante semble la bonne :

certbot-auto renew

Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait :

1 1 1 2,4,6,8,10,12 * /root/certbot/certbot-auto renew > /root/renewlets.log

Le log vous permettra de vérifier s'il y a eu des soucis.

Améliorer et tester la sécurité du site via https

Pour vérifier la qualité de la sécurisation de l'accès au site :

  • https://www.ssllabs.com/ssltest/analyze.html : permet de voir les plus grosses erreurs
  • https://observatory.mozilla.org/ : Mozilla est plus exigeant et permet d'avoir un site bien sécurisé
  • https://cryptcheck.fr/ qui est terriblement exigeant… attention, certains paramètres qui vous vaudront un F (parce que c'est vrai, c'est pas sécu) peuvent aussi empêcher certains de vos internautes de vous voir (parce qu'ils ont des vieux navigateurs pas à jour). Mais ces clients méritent-ils de voir votre site ?

Let's encrypt est pas mal… mais pas parfait3). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps.

On va donc générer de nouveaux paramètres Diffie-Hellman.

cd /etc/letsencrypt/live/MONSITE.COM/
openssl dhparam -out dhparams.pem 4096

Puis ajouter cette ligne dans /etc/apache2/site-enabled/MONSITE-le-ssl.conf :

SSLDHParametersFile /etc/letsencrypt/live/MONSITE.COM/dhparams.pem

Voir aussi la configuration de SSL.

1)
À éviter quand même, un fichier par sous-domaine c'est mieux.
2)
Merci à TychoBrahe pour les corrections.
3)
En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.
fr/https_ssl.txt · Dernière modification: 2017/11/29 21:05 par zatalyz