Archives du mot-clé IP

Un certificat SSL par adresse IP

Laisser une réponse
Erreur affichées lors d'un problème de nom de certificat

Erreur affichées lors d’un problème de nom de certificat

Dans la majorité des esprits, il est communément admis qu’il est nécessaire d’avoir une adresse IP par certificat SSL. C’est-à-dire qu’il n’est possible d’héberger qu’un seul site web en SSL par adresse IP.

Cette pensée provient d’une limitation du protocole TLS, qui ne permettait pas de différencier le DNS demandé avant d’avoir renvoyé le certificat SSL. Il existait donc un risque de renvoyer un certificat SSL qui ne corresponds pas au DNS demandé (et donc afficher un avertissement concernant l’incohérence entre le nom demandé et le certificat renvoyé).

Cette pensée commune reste ancrée dans l’esprit des administrateurs système du monde entier, alors qu’il existe des solutions à l’état de norme depuis 2006, et des solutions concrètes depuis 2007-2008 (coté serveur et coté client).

Cette solution est une extension du protocole TLS appelée « Server Name Indication » (SNI) présentée dans la RFC 4366. Le SNI permet d’envoyer le nom DNS du serveur demandé pendant l’initialisation de l’échange TLS. De ce fait, le serveur pourra renvoyer le certificat correspondant à celui qui a été demandé.

Cette pensée reste ancrée, alors que la plupart des navigateurs Web « récents » supporte SNI :

  • Internet Explorer 7 (depuis 2006)
  • Mozilla Firefox 2.0 (depuis 2006)
  • Opera 8.0 (depuis 2005)
  • Google Chrome 6 (depuis 2010)
  • Safari 3.0 (depuis 2007)
  • Konqueror/KDE 4.7 (depuis 2011)

Pire encore, certains pensent qu’il n’est pas possible d’utiliser des certificats différents sur la même adresse IP mais sur des services (ports) différents. Par exemple, un serveur Web et un serveur IMAP n’utilisant pas le même port ni la même configuration utiliseraient forcément le même certificat. Étant donné que la configuration et le port des deux services sont totalement différents, il n’y a aucune raison de ne pas pouvoir choisir deux certificats différents (et ceci sans employer l’extension SNI).

A l’heure actuelle, en utilisant des versions actuelles (supportées) de système d’exploitation, serveurs et clients, il n’est plus nécessaire de multiplier les adresses IP.