blackdevil

Le SSL sera gratuit d'ici 2015

52 messages dans ce sujet

Le SSL sera gratuit d'ici 2015

Le SSL (Secure Socket Layer) ou TLS (Transport Layer Security) est un protocole de sécurité d'échanges de données sur Internet ou sur un réseau interne.

C'est le protocole de sécurité le plus répandu sur le web. Il est utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur/site web. Les données sensibles, telles que les numéros de CB, les identifiants et mots de passe, seront alors chiffrées et protégées.
Actuellement, il faut acheter et installer un certificat sur un serveur web afin d'activer la sécurisation de son site. Pour les entreprises, le coût, l'installation et la maintenance des certificats est un frein à son adoption. Pour parer à ce problème, l'EFF (Electronic Frontier Foundation) annonce la gratuité du SSL pour l'été 2015.
Le protocole SSL est généralement utilisé sur :

  • les sites de banques,
  • les sites d'e-commerce,
  • les applications de messagerie web,
  • les interfaces d'administration des CMS et des hébergeurs de sites internet,
  • les réseaux sociaux,
  • ...

Côté référencement naturel, Google a annoncé il y a quelques temps l'ajout du chiffrement des sites dans sa liste de critères.
Pour vérifier si vous surfez sur un site sécurisé, il vous suffit de regarder dans la barre d'adresse de votre navigateur.
Si l'url du site commence par "https" et qu'un petit cadenas est affiché à côté, alors le site est sécurisé grâce au SSL.

16808.jpg

Afin de sécuriser son site internet, il suffit d'acheter un certificat SSL et de l'installer sur son serveur web.

Le certificat SSL est une sorte de signature numérique du site Internet, validée par un organisme (CA). Pour voir les détails du certificat, il suffit de cliquer sur le cadenas et vous pourrez voir quel organisme a validé le certificat et pour quel site Internet en particulier.
Le problème actuel est qu'il faut payer pour acheter ce certificat à l'année ou sur plusieurs années, le coût pouvant varier de 15 € à 350 € en moyenne à l'année. Ce n'est pas énorme mais cela représente un coût. A cela, il faut ajouter le fait qu'installer un certificat SSL n'est pas trivial et donc est un frein à l'adoption du SSL/TLS par les entreprises.
Pour que le SSL soit de plus en plus adopter et pour sécuriser l'Internet, l'EFF, a annoncé un projet nommé "Let's Encrypt", une nouvelle autorité de certification (CA), créé par Mozilla, Cisco, Akami, IdenTrust et l'Université du Michigan.
Avec un lancement prévu pour l'été 2015, le CA "Let's Encrypt" vaautomatiquement émettre et gérer des certificats gratuits pour tout site web qui en a besoin. Ajouter le protocole HTTPS à son serveur web deviendra un jeu d'enfant, cela sera possible via une ligne de commande ou un clic sur un bouton.

16809.jpg

L'EFF, a estimé, pendant les tests qu'ils ont effectués, que cela prend de 1 à 3 heures à un développeur web d'activer le chiffrement d'un site web la première fois et seulement de 20 à 30 secondes avec Let's Encrypt.
Personnellement je trouve que "Let's Encrypt" est une très bonne initiative et un projet très prometteur qui facilitera l'adoption du SSL par tous si le projet se concrétise.


Source : http://www.journaldunet.com/solutions/expert/59156/le-ssl-sera-gratuit-d-ici-2015.shtml

Modifié par blackdevil

Partager ce message


Lien à poster
Partager sur d’autres sites

Génial comme initiative pour développer le SSL :)

Mais reste à voir si "Let's Encrypt" sera une autorité de certification réellement reconnue

Et dans tous les cas, une ip dédiée est nécessaire, ainsi qu'un serveur dédié/privé si j'en crois leur process d'utilisation :

$ sudo apt-get install lets-encrypt

$ lets-encrypt example.com
Modifié par Simon BRESSIER

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a eu ce billet à ce sujet qui n'est pas sans convaincre: une CA aux USA ne peut pas être conseillée. Pour ma part j'espère dans les progrès de CA Cert.

https://linkedin.com/today/post/article/20141120073425-26662417-why-i-won-t-be-using-let-s-encrypt-and-recommend-other-not-to-also

Quand on regarde les réponses il y a un autre son cloche qui y résonne à propos de cet article.

Moi je salut surtout l'initiative pour développer le SSL après il faudra voir comment tout ça se met en place et s'utilise mais c'est déjà une bonne chose.

Modifié par blackdevil

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello !

Je déterre sans doute un peu le topic, mais j'utilise depuis quelques mois maintenant un provider SSL gratuit, il s'agit de https://www.startssl.com/

Leur site est horrible, mais leur certifs gratuits sont top pour un usage courant (pas d'assurance par contre). Ça permet de démocratiser un peu l'utilisation SSL sur les sites et applications :)

Have fun ;)

Simon

Et pour ceux qui gèrent eux-même un serv dédié, voilà une config assez safe pour le vhost ssl :

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4

Ya pas mal de ciphers qu'il faut désactiver, ainsi que SSLV2 et SSLV3 qui sont dépréciés avec la découverte récente de failles SSL

Modifié par Simon BRESSIER

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

Effectivement Startssl existe depuis bien longtemps et délivre des certificats gratuits. Il faut tout de même se rappeler que leur charte interdit de se servir de ces certificats pour des sites de vente en ligne !

Pour ce type d'utilisation, startssl VENDS des certificats!

http://cert.startcom.org/?lang=fr

Cordialement,

Manu

Modifié par Lafuente

Partager ce message


Lien à poster
Partager sur d’autres sites

Yo !

Je n'ai vu nulle part que c'était interdit, par contre les certificats délivrés gratuitement ne proposent aucune assurance. Tu peux acheter un certif SSL si tu as une société, afin de ne pas lier une personne au certificat, mais une société, dans ce cas, il faut passer sur un certif de classe 2, avec des vérifications plus importantes faites sur le demandeur (personne physique ou morale), qui est payante :

https://www.startssl.com/?app=25#2

Tu peux donc obtenir un certif ssl gratuit si tu as une société, mais tu acceptes que les risques liés à l'utilisation du certif soient directement reportés sur une personne physique, et non sur la société

Modifié par Simon BRESSIER

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour revenir au sujet initial, à savoir Let's Encrypt, est-ce qu'il y a du nouveau quant à son utilisation sur Web4all ?

Let's Encrypt est maintenant en beta; est-ce que certains utilisateurs de w4a y participent?

Quelles seraient les possibilités que les utilisateurs de w4a puissent sécuriser leurs sites avec cette technique?

Actuellement, est-ce que ce serait possible sur un hébergement mutualisé?

Est-ce que des membres de l'équipe de w4a suivent ce "dossier"?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci en tout cas pour l'info sur StartSSL, cela peut être très interessant pour des sites persos qui commencent à être visités. Un peu de protection ne fait pas de mal :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai absolument pas suivi ce sujet non.

Nous permettons aux utilisateurs de mettre en place leur certificat SSL sur simple demande au support, quelque soit l'origine du certificat ;) 

Partager ce message


Lien à poster
Partager sur d’autres sites

Euh, oui, pour des certificats SSL classiques, donc.

Mais le fonctionnement de Lets encrypt n'est pas "classique". Ce n'est pas une simple autorité de certification.
Il faut passer par un script python qui génère et installe les certificats...

A terme, on pourrait imaginer que le prestataire de service (w4a par exemple) intègre cette fonction à ses services.
En un clic et pour un moindre cout, le client pourrait avoir un site sécurisé.

Est-ce que c'est possible dans un environnement mutualisé ou pas, c'est plutôt ça ma question.

Je remets encore l'adresse du site, pour ceux qui voudraient creuser le sujet : Let's Encrypt

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai eu des whitelist pour plusieurs de mes domaines sur Let's encrypt, je n'ai pas encore testé l'install des certifs, je teste ça à mon retour en France :)

un truc un peu contraignant aussi pour l'instant :

Citation

Renewals and Lifetimes

Certificates from Let's Encrypt are valid for 90 days. We recommend renewing them every 60 days to provide a nice margin of error. As a beta participant, you should be prepared to manually renew your certificates at that time. As we get closer to General Availability, we hope to have automatic renewal tested and working on more platforms, but for now, please play it safe and keep track.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok, je viens de tester avec https://bressier.fr/ le certif est installé et semble good sur Chrome en tout cas.

le process d'install de cert est plutôt pas mal, la récupération du certificat s'effectue via un script python, en effet, mais peut être effectuée depuis ton poste directement, et tu peux ensuite fournir les certifs à W4A.

L'embêtant, c'est que les certifs ont une durée de vie de 90j, donc pas super viable en l'état, il faudrait que W4A l'automatise pour faire les updates de certifs avant expiration. Le script de GET certif ne peut pas tourner sur une machine qui listen déjà sur port 80 aussi.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ton retour, c'est plutôt encourageant.

La prochaine version du iwal de W4A, annoncée depuis.. un petit temps, devrait permettre de programmer des tâches CRON, ça pourrait aider :)

 

Partager ce message


Lien à poster
Partager sur d’autres sites

petit up, il y a moyen de lancer les renew des certifs sans devoir bind sur le port 80

le soft peut créer un fichier de challenge sur le web root du site concerné, ça va créer un fichier temp qui sera ensuite get via http par les serv de let's crypt pour valider la propriété du domaine. Ça pourrait donc être utilisable et automatisable par Web4all à priori, à confirmer par les tech w4a

exemple d'utilisation pour moi :

cd /root/letsencrypt; ./letsencrypt-auto --agree-dev-preview --renew-by-default --text --agree-tos --server https://acme-v01.api.letsencrypt.org/directory -d bressier.fr certonly -a webroot --webroot-path "/var/www/bressier.fr/www"; service apache2 reload

 

Modifié par Simon BRESSIER

Partager ce message


Lien à poster
Partager sur d’autres sites

Petite question Simon, t'as testé ça sur un serveur dédié ou un espace mutualisé w4a? (Dans le second cas, je ne comprends pas bien comment ça fonctionnerait pour l'instant).

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est sur un serveur dédié Alexis, tu ne dois pas pouvoir lancer ça sur un hébergement mutualisé w4a, pour cela, il faudra que w4a réfléchisse à comment intégrer cela et l'automatiser.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ce serait chouette si W4A pouvait ajouter ça à (sa longue) todo list de fonctionnalités à évaluer et/ou intégrer :-)

Partager ce message


Lien à poster
Partager sur d’autres sites

A priori de ce que je verrais :

le manager monte le dossier de publication web sur filer, et lance :

cd /root/letsencrypt; ./letsencrypt-auto --agree-dev-preview --renew-by-default --text --agree-tos --server https://acme-v01.api.letsencrypt.org/directory -d domain.com -d www.domain.com certonly -a webroot --webroot-path "/path/vers/le/www/client/sur/filer/";

les apache vont donc publier le fichier de vérif créé, le serv let's encrypt va vérifier que le fichier est présent, une fois la vérif effectuée, le soft va supprimer le fichier sur le filer, et écrire sur le serv manager les certif créés.

ensuite le manager récup les certifs créés, et les push vers les LB

puis le manager crée la config ssl, je ne sais pas sur qui apache ? LB ? pour prendre en charge ces nouveaux certif et rendre possible le ssl pour le domaine

 

PS, pour info, let's encrypt est passé en beta publique, ouverte aujourd'hui :) tout le monde peut donc request un certif désormais, plus besoin d'invitation

Partager ce message


Lien à poster
Partager sur d’autres sites

Sans avoir parcouru la docc plus que ça, on peut généré des certificats librement sans avoir à se trouver sur la machine sur laquelle ils vont être utilisés.

Ils ont également une image docker pour ça... Que j'ai utilisé avec succès pour générer des certificats pour des sous-sous-domaines ; l'objectif était de reproduire une partie du SI d'un client (registry, LDAP, gitlab, jenkins, nexus, etc...)

Du coup j'imagine bien un petit bout d'interface dans le manager qui permettrait d'uploader le CA, la clé et le certificat :-)

Modifié par smux

Partager ce message


Lien à poster
Partager sur d’autres sites