Des certificats SSL gratuit et valide pour vos sites web

Bijour à tous … [cet article est une pub ^^]

Long discours qui sert à rien : Pour ce long week-end, pas grand-chose de nouveau sur le site, si ce n’est la migration vers un serveur dédié (RPS d’OVH) du blog et du site web (l’accès devenait trop laborieux, que ce soit depuis webhost ou redby, pour l’un le serveur http était à la ramasse, et pour l’autre, le serveur de base de données était surchargé et maintenant, j’ai tous mes sites sur un seul et même serveur, ce qui est plus simple pour administrer la chose ;)).

J’ai profité de la migration du serveur pour revoir un peu la sécurité du blog, et en particulier l’utilisation des certificats (l’auto-signé n’étant pas très sécurisé) , j’ai donc cherché (pas trop longtemps … merci google) un PKI gratuit qui fournit des certificats SSL pour les sites web (mais aussi pour valider son identité via du x509 et pas mal d’autres services intéressant sont gratuits, bien sûr pour des chiffrements plus élevé et des options plus importantes du genre les ssl en wildcard et … faut s’y attendre, c’est plus gratuit mais bon ;)).

Donc voilà, si ça vous intéresse, le chiffrement proposé est plutôt moyen (de l’AES 256), mais il n’y a pas a confirmer d’exception de sécurité (Note du 14 : Le certificat n’est pas valide sur IE et chrome) … ce qui est sympa, mais il parait qu’il faut faire vérifier le domaine tous les mois par le PKI ce qui peut être lourd à la longue …

Niveau configuration, startssl explique très bien comment installer la chose par ici

Sinon, pour faire simple la mienne ressemble à ça :
[pre lang= »bash »]
DocumentRoot /var/www/blog
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile /etc/apache2/cert/ssl.crt
SSLCertificateKeyFile /etc/apache2/cert/ssl.key
SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.ca.crt
SSLCACertificateFile /etc/apache2/cert/ca.crt
SetEnvIf User-Agent « .*MSIE.* » nokeepalive ssl-unclean-shutdown
CustomLog /var/log/apache2/ssl_request.log \
« %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \ »%r\ » %b »

[/pre]

Ensuite, il faut forcer le chiffrement de certaine partie du site … via un sympatique htaccess qui tire cette tête pour du wordpress (j’ai pas forcé le chiffrement pour les commentaires …) :

[pre lang= »bash »]

RewriteCond %{HTTPS} off
RewriteRule ^wp-admin(.*) https://%{SERVER_NAME}/wp-admin$1 [R,L]
RewriteCond %{HTTPS} off
RewriteRule ^wp-login.php(.*) https://%{SERVER_NAME}/wp-login.php$1 [R,L]

[/pre]

Voilà amusez-vous bien … et vive le chiffrement 😉

5 réflexions sur « Des certificats SSL gratuit et valide pour vos sites web »

  1. Salut,

    Je voulais connaitre ton retour d’expérience, deux ans après, à propos des certificats gratuits de startssl.
    Globalement satisfait ou pas?
    Pas de problème pour le renouveler au bout d’un an?
    Tu peux demander plusieurs certificats (pour plusieurs sites)?
    Quels sont les désagréments que tu as pu rencontrer avec eux?

    Je vois dans ton certificat, pour Organisation: « Persona Not Validated »
    et pour propriétaire (dans Firefox): « Ce site Web ne fournit pas d’informations sur son propriétaire. » Est-ce parce que tu n’as pas communiqué les infos ou bien parce que startssl ne les communique pas dans son certificat?

    Merci d’avance de tes réponses.

  2. Pour ma part, je suis plutôt satisfait, le chiffrement est « bon » (je suis en 2048 bits, mais maintenant ils sont à 4096 si j’ai bien vu les derniers certificats), le service est rapide, j’ai eu des problèmes au renouvellement (perte de mon certificat client … j’avais oublié de l’exporter lors d’un formatage donc c’était ma faute, par défaut ils envoient un mail, y’a un lien a cliquer et c’est renouvelé).

    J’ai du fournir pas mal d’info personnelle, mais aucune d’elle n’est affichées dans la version gratuite, pour avoir la « green bar », et l’affichage des info perso, il faut payer.

    On peut demander plusieurs certificats pour un ou plusieurs site/sous-domaines, l’interface est assez simple pour la création des certificats, sinon le reste est anarchique (y’a pas de réelle organisation).

    Par contre, les certificats ne sont pas validés par tout les navigateurs (ie6 sur XP à l’époque mais ie8 sur 7 à l’air de le prendre en compte, aucun problème pour chrome et firefox)
    Voilà, sinon, pas de problèmes particuliers.

  3. Merci de ton retour.
    Je viens d’y aller demander un certificat, en effet leur interface web est assez déroutante (pour ne pas dire bordélique), mais j’ai mon certificat SSL et il ne me reste plus qu’à l’installer sur un serveur web (Nginx). Comme c’est pour un site d’une petite communauté de proximité, je peux me passer de IE6 et pas besoin de la « green bar » pour ça.
    Sur ton conseil je viens d’exporter mon certificat client, car je sens que c’est le truc que je risquais facilement de perdre.

    Merci.

    Heu, juste au passage: lorsque l’on utilise ton blog en https, la publication de commentaire fait repasser en http non sécurisé.

  4. Oui, en fait l’https est seulement utilisé dans la partie administration, tout le reste est en non-sécurisé … les commentaires étant de toute façon publique, il n’y a pas de raison de les chiffrer lors de leur transfert sur le serveur.

Les commentaires sont fermés.