ANTISECHE
Pour ne plus rien oublier !

Avoir son certificat ssl sans se ruiner

lundi 03 juin 2013

Soyons clair, ma solution ne vous permettra pas d’atteindre le même niveau de sécurité qu’un certificat signé par un tiers de confiance. Cependant, elle vous ouvrira la porte à un niveau de sécurité minimum si vous souhaitez avoir la conscience tranquille quant à vos données personnelles.

Certificat auto-signé

L’idée est de ne pas passer par un tiers de confiance pour signer votre certificat. Mais à la limite, ce n’est pas trop grave puisque ce certificat ne sera utilisé QUE par vous. Donc, s’il est signé par vous-même, je pense, que ça ne devrait pas trop vous gêner.

La communication entre votre navigateur et votre serveur sera bien chiffrée et protégée contre une écoute indélicate d’un maillon de la chaîne (fournisseur Internet, hébergeur de votre serveur etc…). Cependant, vous ne serez pas protégé de façon simple contre un faux certificat introduit entre votre serveur et vous (attaque Man In The Middle). À vous de vous méfier lorsque l’on vous proposera d’enregistrer manuellement un nouveau certificat.

Installation

Je vous propose pour la suite de se baser sur une distribution GNU/Linux Debian et du serveur Web Apache.

Alors, commençons par installer ce dont nous avons besoins :

~$ apt-get install apache2 openssl

Créons le dossier qui contiendra notre certificat, je vous propose /etc/ssl/localcerts :

~$ mkdir -p /etc/ssl/localcerts

Créons maintenant notre certificat ssl qui sera valide pendant 365 jours:

~$ openssl req -new -x509 -days 365 -nodes -out /etc/ssl/localcerts/apache.pem -keyout /etc/ssl/localcerts/apache.key

Un certificat est privé, rendons le accessible uniquement pour son propriétaire :

~$ chmod 600 /etc/ssl/localcerts/apache*

Notre certificat est créé, nous pouvons activer le support des certificats SSL par Apache :

~$ a2enmod ssl

Nous n’avons plus qu’à modifier les virtualhost des sites Internet pour qu’ils puissent être utilisés avec SSL :

NameVirtualHost *:443

SSLEngine On
SSLCertificateFile /etc/ssl/localcerts/apache.pem
SSLCertificateKeyFile /etc/ssl/localcerts/apache.key

Vérifier bien que vos sites Internet sont activés dans Apache (en fonction de vos Virtualhost):

~$ a2ensite sitename

On vérifie qu’Apache écoute bien sur le port 443 (port de https). Pour cela éditez le fichier /etc/apache2/ports.conf et ajoutez si nécessaire :

Listen 443
Listen 80

Et pour fini, recharcher la configuration d’Apache :

~$ /etc/init.d/apache2 restart

Vos sites sont maintenant accessibles à l’adresse https://www.votre-site.fr.

Aucun commentaire

Fil RSS des commentaires de cet article

Écrire un commentaire

Contenu de votre message :

Votre nom ou pseudo :

Votre site Internet (facultatif) :

Votre adresse e-mail (facultatif) :

Quelle est la première lettre du mot wropc ? : 

CopyLeft - 2013-17 - Toutes gauches réservées - Licence CC-BY

Valide xHtml 1.0 STRICT | Fièrement propulsé par PluXml | 0.023s | 5558 vues