Google et d’autres géants du web ont depuis longtemps lancé une campagne pour encourager tous les opérateurs de sites web à passer au HTTPS dès que possible. Chrome, par exemple, affiche depuis longtemps l’indication Non sécurisé à gauche de la barre d’adresse dans le cas où une page Web est ouverte. Firefox n’affiche la phrase Connexion non sécurisée que lorsque vous cliquez sur le « i » toujours à gauche de la barre URL.
Table des matières
Quels sont les avantages du protocole HTTPS?
En établissant une connexion HTTPS, les informations échangées entre le navigateur et le serveur Web (et vice versa) ne peuvent pas être lues ou modifiées par des tiers (les attaques dites » man-in-the-middle » (MITM) sont évitées).
Par rapport au protocole HTTP, HTTPS signale au navigateur d’utiliser le niveau de cryptage SSL/TLS supplémentaire pour protéger les communications de client à serveur et vice versa. De plus, un certificat numérique est utilisé pour certifier l’identité du site Web que vous visitez. Il sert à rassurer le navigateur sur l’identité du site que vous visitez en certifiant que la page que vous visitez est effectivement livrée par la personne à laquelle vous vous attendez réellement à appartenir.
Les différents types de certificats SSL
Il existe différents types de certificats : DV (Domain Validated), OV (Organization Validated) et EV (Extended Validation). Elles diffèrent sur la base de la vérification de l’identité du demandeur effectuée par l’autorité de certification ou l’organisme qui délivre le certificat numérique pour le compte du client.
Les certificats EV sont ceux qui sont émis selon les critères de vérification les plus stricts : vous avez peut-être remarqué que sur les services bancaires en ligne, à gauche de la barre URL du navigateur apparaît également le nom de la banque. En effet, la banque utilise un certificat EV qui offre les garanties les plus élevées qui soient.
Cependant, le cryptage des données échangées entre les clients, les serveurs et vice versa ne nécessite pas nécessairement un certificat EV onéreux ; même un DV est suffisant.
Let’s Encrypt : qu’est ce que c’est?
Let’s Encrypt est une initiative née sous la pression de Linux Foundation, Mozilla, Cisco, Akamai, EFF (Electronic Frontier Foundation), Google, Facebook, Internet Society et bien d’autres, qui permet à chacun de demander un certificat DV numérique pour son site web et de l’utiliser gratuitement pour chiffrer toutes les communications en transit.
Encore aujourd’hui nous parlons « familièrement » de certificat SSL ; en réalité, nous devrions simplement utiliser le terme certificat numérique ou certificat DV/OV/EV puisque SSL est un protocole cryptographique, qui a été dépassé et remplacé par TLS 1.2, qui permet de crypter les données échangées.
Comment obtenir un certificat numérique gratuit avec Let’s Encrypt?
Par rapport aux procédures fournies par les autorités de certification, l’obtention d’un certificat numérique auprès de Let’s Encrypt implique l’utilisation d’une procédure plus complexe qui varie en fonction des plateformes et des systèmes d’exploitation utilisés.
Certbot
Un des outils que Let’s Encrypt propose pour demander, générer, installer et renouveler le certificat numérique s’appelle Certbot. Vous trouverez des informations sur la façon de l’utiliser à cette adresse.
Le service est chargé d’aider les utilisateurs à générer et à renouveler les certificats Let’s Encrypt. Il existe plusieurs outils pour vérifier l’identité de l’utilisateur ou plutôt la capacité du candidat à contrôler un ou plusieurs domaines.
Nous suggérons d’opter pour la vérification manuelle ou la vérification manuelle (DNS) : dans le premier cas, il suffira de télécharger un ou plusieurs fichiers sur le serveur web accessible par le port 80 ; dans le second cas et toujours pour attester la propriété du domaine, vous devrez ajouter un enregistrement DNS.
Zéro SSL
Zero SSL utilise également une approche similaire : il suffit de cliquer par exemple sur Outils en ligne, Démarrer en correspondance avec l’assistant de certificat SSL GRATUIT et suivre la procédure pour certifier la propriété de votre domaine et obtenir un certificat DV valide de Let’s Encrypt.
Dans tous les cas, vous pouvez générer un CSR (Certificate Signing Request) côté serveur Web ou un fichier de demande qui vous permet d’indiquer immédiatement quels domaines vous demandez le certificat ainsi que vos informations personnelles (en général, il vous suffit de spécifier le pays et l’organisation qui le demande).
Get HTTPS
Alternativement, vous pouvez également utiliser le service gratuit Get HTTPS : le certificat numérique Let’s Encrypt peut être obtenu en exécutant une série de commandes dans la fenêtre du terminal, même sous Windows 10.
Nous vous suggérons de visiter la page gratuite Get HTTPS et de cliquer sur le lien comment puis-je générer ceci ? afin d’obtenir, l’un après l’autre, les commandes Linux à exécuter pour obtenir votre certificat numérique avec Let’s Encrypt.
Pour « valider » le domaine et s’assurer de sa propriété, il y a trois façons différentes de choisir : exécuter une commande Python qui écoute sur le serveur sur le port 80, télécharger un fichier sur le serveur web, insérer un enregistrement TXT pour le ou les domaines qui vous intéressent.
Pour renouveler le certificat, il suffit d’exécuter à nouveau la procédure avec Get HTTPS gratuitement à proximité de la date d’expiration du certificat lui-même.
Cependant, il existe de nombreux clients plus ou moins automatisés disponibles pour chaque système d’exploitation et chaque serveur web.
Comment installer son certificat HTTPS gratuit?
Une fois que vous aurez reçu votre certificat numérique, vous devrez l’installer sur le serveur web en suivant une procédure différente selon le logiciel utilisé.
A ce stade, vous pouvez ouvrir le port entrant 443 et vous assurer que le serveur web commence à livrer les pages en utilisant le protocole HTTPS. Cependant, lorsque vous passez de HTTP à HTTPS, vous devez suivre quelques étapes de base pour vous assurer que les nouvelles pages HTTPS sont correctement indexées par le moteur de recherche.
A ce point, dans la barre d’adresse du navigateur, le site web commence à être indiqué comme « Safe » (cadenas fermé dans la barre). En cliquant dessus, vous lirez en tant qu’autorité de certification votre propre autorité Let’s Encrypt.
Rappelons que le certificat numérique émis par Let’s Encrypt a une date d’expiration très proche (90 jours à compter de la date d’émission) : il est donc bon d’activer à temps pour le renouvellement ou de configurer un client qui va exécuté périodiquement et automatiquement le renouvellement du certificat.
