Un certificat est nécessaire pour configurer Apache en SSL, càd pour pouvoir faire du https.
Pourquoi du https ?
Déjà simplement, pour que vos données, tel que userids et mots de passe, par exemple pour l’accès à un Webmail, ne circulent pas en clair sur le Net, ou pour des sites d’eCommerce (ce n’est pas mon cas actuellement), pour l’accès à certains dossiers d’administration (phpMyAdmin par exemple).
Mais un certificat permet aussi d’authentifier votre site Web et ainsi de certifier que ce site est bien le votre et pas un site essayant de se faire passer pour vous.
Le plus simple est de générer soit-même un certificat SSL.
Evidemment, n’importe qui peut faire cela, y compris quelqu’un qui essayerait de se faire passer pour vous.
Ce qui veut dire aussi que, pour la personne qui est devant son PC, pourquoi vous faire confiance, plutôt qu’à un autre ?
Rien ne prouve en effet que le site Web qui est en https et qui utilise un certificat auto-généré, soit bien le VOTRE !
Pour en être sur, il faut faire intervenir un partenaire.
Partenaire qui va dire à votre utilisateur : « oui ! Le site www.misson.net, je le connais et je certifie que sa signature est valable ! ».
C’est le principe de l’autorité de certification.
Plusieurs sociétés privées existent qui remplissent ce rôle… gratuitement évidemment…
euh… Non ! Pas vraiment ! 
On devrait même dire « Vraiment PAS gratuitement » !
Les sociétés les plus connues sont VeriSign et Thawte.
Les prix habituellement demandés pour un certificat valable 1 AN (et oui, il faut repayer régulièrement) sont dans les 4 à 500 € hors taxe !
En payant pour 3 ans, vous « descendez » dans les 1000 à 1200 € hors taxe pour 3 ans, PAR SITE WEB.
C’est à dire que si vous avez www.monsiteweb.be, webmail.monsiteweb.be, forum.monsiteweb.be, il vous faudrait 3 certificats, et payer 3 fois…
Si ce prix de 400 € par an et par site n’est rien pour de grosses sociétés tels que (au hasard) Total, la SNCF ou Air France qui acceptent sans problème de payer cette somme pour sécuriser leur site eCommerce, ce n’est évidemment pas abordable pour un particulier.
Heureusement, une communauté s’est formée et a décidé de créer CAcert, dans le but d’offrir l’accès libre et gratuit à la sécurité au plus grand nombre de personne.
CAcert peut donc vous permettre de demander on-line un certificat pour authentifier un de vos sites, et cela gratuitement !
Est-ce que cela change quelque chose d’avoir un certificat (un site web) authentifié par CAcert, au lieu de VeriSign par exemple ?
En théorie non… En pratique, une autorité de certification doit aussi être reconnue !
Les navigateurs courants (Ms IE, Firefox) ont déjà les clés publiques des autorités reconnues.
Ainsi, quand vous arrivez en https sur le site de VeriSign, ou sur un site dont le certificat a été authentifié par VeriSign (et donc qui a accepté de payer ces 400 € par an), Ms IE ou Firefox l’acceptent directement.
Ce n’est pas encore le cas pour CAcert, petit nouveau pas encore très connu.
De ce fait, votre navigateur va vous dire qu’il ne connait pas cette autorité de certification…
Avant de demander un certificat chez CAcert, il faut savoir que CAcert est encore assez récent, et de ce fait, n’est pas encore reconnu officiellement comme « autorité de certification ». C’est à dire que vos navigateur Ms IE et Firefox n’ont pas en standard la clé racine de CAcert.
Quand vous accédez à un site certifié par CAcert, vous avez donc un message signalant le problème…
Quel est l’intêret alors ?
Au lieu d’avoir un message d’avertissement sur le certificat auto-signé de votre site, l’utilisateur aura un message d’avertissement disant que l’autorité de certification est inconnue…
Exact, mais je vois malgré tout plusieurs intérêts :
- votre certificat auto-signé, le client est obligé de lui faire confiance. Personne d’autre que vous même n’affirmer que votre site est digne de confiance !
- le certificat signé par CAcert, au moins c’est déjà une organisation différente, ce n’est plus vous-même pour votre propre compte
- si vous gérez plusieurs sites, ou sous-domaine, vous devez avoir plusieurs certificats… Vos utilisateurs auront ce message d’avertissement pour tous vos sites et sous-domaines ! Avec des certificats tous signés par CAcert, l’utilisateur n’aura qu’une seule fois le message d’avertissement
- il suffit d’une seule opération pour faire accepter CAcert comme nouvelle autorité de certification à votre navigateur. Avec des certificats auto-signés, il faut que l’utilisateur accepte un à un tous vos certificats
- choisir CAcert, c’est cassé le monopole des grosses firmes genre VeriSign, bien trop chères pour le particulier. Plus il y aura de sites certifiés par CAcert, plus connu sera CAcert, et cette alternative gagnera en crédibilité
- Il y a quand même déjà des dizaines de milliers de sites Web certifiés par CAcert… Ce n’est plus si négligeable que ça. L’utilisateur peut rencontrer d’autres sites signés aussi par CAcert. C’est mieux que votre certificat auto-signé par vous tout seul.
- CAcert essaye actuellement d’avoir la reconnaissance par Mozilla Foundation. Il n’y aura alors plus aucun problème avec les sites authentifiés par eux avec Firefox et ses dérivés.
En effet, CAcert a démarré une procédure pour demander à Mozilla de les incorporer parmi les autorités de certifications reconnues par Firefox, mais cette procédure peut encore prendre « un certain temps ».
Pour que CAcert soit aussi reconnu dans les navigateurs tel que Ms IE, la procédure ne semble pas trop compliquée… mais coûte excessivement cher pour CAcert.
De ce fait, pour le moment, CAcert.org n’est pas automatiquement reconnu comme une autorité valide par votre navigateur.
La solution, pour ne pas avoir de message de warning à chaque fois, est d’ajouter le certificat racine de CAcert dans votre Firefox.
Cette procédure est expliquée sur le site Poivron.org ainsi que sur cette 2ème page.
Pour que ce billet ne soit pas trop long, je le divise en 2.
Après cette première partie sur les généralités et mon choix de CAcert, je continuerai donc pour la configuration, dans un 2ème billet. 
