Let’s encrypt ou la signature OpenSource de certificats

Vouloir passer ses domaines en https : c’est bien.
Mais comment gérer la signature des certificats ?
Car s’il est possible de générer ses propres certificats, il est aussi possible de créer sa propre autorité de certification pour les signer ou de faire appel à un prestataire.
Le premier cas de figure, avoir sa propre autorité de certification :
c’est facile, rapide et gratuit.
Le problème est qu’elle n’est reconnue que par vous, donc lors de la consultation du-dit site, il faut soit ajouter une exception soit ajouter le certificat de l’autorité au navigateur qui ne la connaissait pas. Ce qui n’est pas des plus pratique et peut faire peur à vos visiteurs.
La deuxième solution, faire appel à un prestataire :
c’est plus pratique, car il sera connu par tous les navigateurs ; en revanche c’est loin d’être gratuit.

Alors quelle est la solution ?

Une des solutions est let’s encrypt, il s’agit d’une autorité de certification open source et gratuite !

Préparation

Il existe un programme qui fait tout le travail, de façon automatisée : CertBot.
Il suffit de suivre le processus d’installation, très simple.

Utilisation

Idem, ce référer au lien précédent.

Serveur/LAMP

Installation

sudo apt-get install apache2 php mysql-server libapache2-mod-php php-mysql

Durant l’installation, un mot de passe sera demandé pour mysql.

Configuration

Activation du https via TLS

#Activation du module ssl
sudo a2enmod ssl
#Activation du virtual host https
sudo a2ensite default-ssl.conf
#Redémarrage du service apache2
sudo service apache2 restart

Continue reading

Certificats

Pour sécuriser une connexion web en utilisant le protocole https, il faut un certificat.
Nous allons voir comment les générer sans trop de fatigue !

Recommandations

L’ANSSI déconseille fortement de générer des certificats sur un serveur fraîchement installé ou pire sur une machine virtuelle, car il n’y a pas suffisamment d’entropie. cf p8/21 Anssi – Note technique Recommandations pour un usage sécurisé d’OpenSSH

Quelques règles permettent de s’assurer que le réservoir d’entropie est correctement rempli :

  • la machine de génération de clés doit être une machine physique ;
  • elle doit disposer de plusieurs sources d’entropie indépendantes ;
  • l’aléa ne doit être obtenu qu’après une période d’activité suffisamment importante (plusieurs minutes voire heures).

Il parait donc nécessaire de générer les clefs et certificats sur son poste de travail, qui a de nombreuses applications en service, générant de l’entropie.

L’autorité de certification

Il est possible de faire signer ses certificats par une autorité de certification, qui vous facturera l’opération.

Sinon il est possible de créer sa propre autorité de certification.
Continue reading