{"id":98,"date":"2016-03-06T17:21:00","date_gmt":"2016-03-06T16:21:00","guid":{"rendered":"https:\/\/phperformances.fr\/?p=98"},"modified":"2016-10-16T14:25:05","modified_gmt":"2016-10-16T12:25:05","slug":"lets-encrypt-https-pour-tous","status":"publish","type":"post","link":"https:\/\/phperformances.fr\/lets-encrypt-https-pour-tous\/","title":{"rendered":"Let’s Encrypt – HTTPS pour tous"},"content":{"rendered":"

Aujourd’hui nous parlons de plus en plus du HTTPS que ce soit pour les recommendations de Google en mati\u00e8re de SEO mais surtout pour la s\u00e9curit\u00e9 des \u00e9changes des donn\u00e9es avec les utilisateurs et les autres plateformes. Jusqu’\u00e0 aujourd’hui les certificats sign\u00e9s\u00a0\u00e9tait principalement payant et peuvent atteindre des sommes astronomiques en fonction des assurances ou du modele (wildcard, etc.).<\/p>\n

Un projet open-source<\/h2>\n

Let’s encrypt est un projet Open Source faisant partie des projets Linux Foundation<\/a>. Ce projet consiste \u00e0 proposer une nouvelle autorit\u00e9 de certificat SSL\/TLS gratuite et automatique.<\/p>\n

Cet outil a pour vocation de rendre accessible a tous des certificats SSL\/TLS<\/a>\u00a0sign\u00e9s et permettre \u00e0 un simple bloggeur (par exemple) de proposer une plateforme fournissant un niveau de s\u00e9curit\u00e9 et de confidentialit\u00e9 correct pour ses internautes, gratuitement.<\/p>\n

Ce projet aujourd’hui en beta publique mais d\u00e9j\u00e0\u00a0mis en place sur de nombreux sites (dont celui ci !). Il est \u00e9galement support\u00e9 par un grand nombre de sponsors tels que Mozilla, Facebook, Automattic, Chrome, IdenTrust… Cette liste est bien entendu non exhaustive<\/a>.<\/p>\n

Le client<\/h2>\n

Let’s Encrypt met a disposition un client<\/a>\u00a0d\u00e9velopp\u00e9 en python permettant d’ajouter un certificat de mani\u00e8re automatique a l’aide de quelques commandes simples. Ce client permet de r\u00e9cup\u00e9rer des certificats, mais aussi simplifie le renouvellement et la revocation de certificats.<\/p>\n

Installation<\/h3>\n

L’installation du client se fait directement depuis git.<\/p>\n

git clone https:\/\/github.com\/letsencrypt\/letsencrypt\r\ncd letsencrypt<\/code><\/pre>\n
Une fois t\u00e9l\u00e9charg\u00e9, l’installation est lanc\u00e9e a l’aide de la commande suivante :<\/p>\n
.\/letsencrypt-auto<\/code><\/pre>\n
L’installation d’un certificat peut se faire de plusieurs fa\u00e7on (automatique ou manuelle), car des plugins sont disponibles permettant d’automatiser et de \u00ab\u00a0gagner du temps\u00a0\u00bb dans la mise en place du certificat.<\/p>\n
Apache<\/h4>\n
Le plugin apache permet de cr\u00e9er un vhost SSL\u00a0depuis un vhost existant a l’aide l’option\u00a0--apache<\/code>. La commande suivante permet de mettre en place le certificat ssl sur votre site .\/letsencrypt-auto --apache -d votre-domaine.com<\/code><\/p>\n
Le client va r\u00e9cup\u00e9rer le certificat relatif au nom de domaine et demande le type d’acc\u00e8s d\u00e9sir\u00e9 (HTTPS seul ou HTTP\/HTTPS)
\n\"letsencrypt-step1\"<\/p>\n
Configuration<\/h3>\n
Let’s encrypt propose une configuration SSL basique import\u00e9e par d\u00e9faut dans la configuration du vhost. Il est fortement recommand\u00e9 de customiser votre configuration en fonction de votre site (Compatibilit\u00e9 navigateur \/ S\u00e9curit\u00e9). Pour cela un outil de configuration SSL est mis a disposition par mozilla<\/a> dans le but de simplifier la configuration pour les non-experts.<\/p>\n
Tester la configuration<\/h3>\n
Apr\u00e8s la mise en place d’un certificat sur votre site, l’outil\u00a0vous sugg\u00e8re de tester votre configuration SSL.<\/p>\n
\"letsencrypt-step2\"<\/p>\n
Pour tester la configuration SSL\/TLS sur le serveur, le site SSLLabs<\/a>\u00a0scanne votre domaine, met en avant les probl\u00e8mes et donne une note globale a votre configuration.<\/p>\n
Cet outil est plut\u00f4t utile pour tester la configuration SSL\/TLS sur un site et detecter des failles potentielles telles que POODLE ou Heartbleed qui a fait couler beaucoup d’encre.<\/p>\n
Renouvellement des certificats<\/h2>\n
Let’s Encrypt propose des certificats ayant une validit\u00e9 de 90 Jours, lors de la mise en place d’un certificat, l’email renseign\u00e9 permet d’\u00eatre notifi\u00e9 lorsque la validit\u00e9 du certificat est sur le point d’expirer.<\/p>\n
Le renouvellement ne se fait aujourd’hui pas encore de mani\u00e8re automatique nativement (ce qui devrait arriver bient\u00f4t), mais simplement avec la commande letsencrypt-auto<\/code>\u00a0qui peut \u00eatre ajout\u00e9e dans un cron avec l’option --renew-by-default<\/code>.<\/p>\n
La documentation recommande de param\u00e8trer le cron tous les mois pour avoir l’esprit tranquille \ud83d\ude42<\/p>\n
Pour conclure<\/h2>\n
Depuis plusieurs mois j’ai mis en place let’s encrypt sur diff\u00e9rents sites et applications internes. Ces certificats sign\u00e9s gratuits sont tr\u00e8s pratiques pour les outils internes tels que jenkins pour avoir un chiffrements des donn\u00e9es qui transitent.\u00a0Cependant la limite des certificats reste\u00a0la compatibilit\u00e9 sur les vieux navigateurs (sur windows xp seul Firefox est compatible avec l’algo).<\/p>\n
N’h\u00e9sitez pas a faire vos retours sur cet outil si vous avez eu l’occasion de l’utiliser.<\/p>\n
 <\/p>\n
\n
Ressources :<\/strong><\/p>\n