Un peu de tout » SSL

Sécurisation SSL : Certificat CAcert avec Dovecot et Thunderbird en IMAPs

Didier Misson — Tue, 17 Jun 2008 01:36:48 +0000

Après avoir créé un certificat signé par l’autorité CAcert, je dois configurer mon serveur Dovecot pour utiliser ces clés et mon client mail Thunderbird pour accepter CAcert comme autorité de certification.

Dans mon cas, j’ai généré un certificat SSL CAcert multi-sites pour l’utiliser dans mon serveur mails. Mes mails sont en IMAPs et j’utilise DOVECOT.

J’ai donné des noms plus cohérents pour mes certificats :

Misson_imap_server.pem pour le certificat serveur qui vient de CAcert
Misson_imap_privatekey.pem pour la clé privée qui doit rester secrète

Je les transferts donc vers mon serveur distant :

scp Misson_imap_server.pem didier@monserveurmail:/home/didier

scp Misson_imap_privatekey.pem didier@monserveurmail:/home/didier

Adaptez évidemment les noms des clés, et le nom ou IP adresse du serveur.

Sur le serveur, au quel j’accède en SSH, je place les 2 clés dans les bons dossiers en étant en root, ou avec « sudo » suivant votre serveur :

mv /home/didier/Misson_imap_server.pem /etc/ssl/certs/

mv /home/didier/Misson_imap_privatekey.pem /etc/ssl/private/

Changez les permissons et le owner sur les 2 clés. J’autorise Dovecot à y accéder.

cd /etc/ssl/certs/

chmod u-w Misson_imap_server.pem

chown root:dovecot Misson_imap_server.pem

cd /etc/ssl/private/

chmod u-w Misson_imap_privatekey.pem

chown root:dovecot Misson_imap_privatekey.pem

Il faut maintenant indiquer à Dovecot qu’il doit utiliser ces certificats CAcert :

vi /etc/dovecot/dovecot.conf

Dans mon cas, seul IMAPS est autorisé depuis le Net, IMAP en local pour la communication entre Dovecot et SquirrelMail. J’ai bloqué le POP3.

base_dir = /var/run/dovecot/
protocols = imap imaps
protocol imap {
listen = 127.0.0.1:143
ssl_listen = *:993
}


# protocol pop3 {
# # listen = *:110
# # ssl_listen = *:995
# # }


###  mettre "no" pour le ssl_disable
###  ssl_cert est le certificat serveur de CAcert
###  ssl_key est le certificat privé



ssl_disable = no
ssl_cert_file = /etc/ssl/certs/Misson_imap_server.pem
ssl_key_file = /etc/ssl/private/Misson_imap_privatekey.pem

Il reste à configurer votre client mails.

Attention, il faut d’abord qu’il reconnaisse l’autorité CAcert, sinon il vous donnera un message d’alerte !

La documentation suivante du site CAcert explique comment ajouter les 2 certificats de classe 1 et 3 à Thunderbird, pour qu’il reconnaisse comme valide l’autorité CAcet.

Allez sur la page des certificats racines de CAcert : http://www.cacert.org/index.php?id=3

Sauvez les deux « Root Certificate » de classe 1 et de classe 3 au format PEM sur votre disque dur. Attention, vous devez le faire en cliquant avec la touche de droite de votre souris, et ensuite « enregistrer sous », sinon c’est Firefox (ou autre) qui essayera de les inclure et pas Thunderbird.

Démarrez Thunderbird et allez dans le menu « Edition » / « Préférences ». Dans le menu « Avancé » cliquez sur l’onglet « Certificats ».

Là, cliquer sur « Voir les certificats », puis sur l’onglet « Autorités » :

Importez maintenant les 2 certificats que vous aviez sauvé :

Sélectionnez les 3 cases et cliquez OK.

Faites de même pour le certificat racine de classe 3 :

Vous devriez maintenant avoir CAcert dans la liste des autorités de certification que reconnaît Thunderbird.

La prochaine fois que vous démarrerez Thunderbird, il ne devrait plus vous donner de messages d’alerte disant que votre certificat est auto-signé ou qu’il ne connait pas CAcert comme autorité.

De mon côté, cela fonctionne parfaitement maintenant.

Sécurisation SSL : Certificat CAcert multi-sites

Didier Misson — Mon, 16 Jun 2008 21:43:15 +0000

CAcert est une autorité de certification gratuite, vous permettant de générer des certificats SSL. Dans le cas qui m’intéresse, je vais générer via le site de CAcert des certificats SSL valables pour plusieurs domaines.

Nous avons vu comment générer un certificat SSL multisites auto-signé. Cela permet d’avoir sur un même serveur Apache (ou Exim ou autre) qui n’a qu’une seule adresse IP, un certificat SSL qui sera reconnu comme valable pour plusieurs sites en https (ou en IMAPS).

Le problème est que ce certificat est auto-signé. Il ne garanti aucunement que vos sites soient sains, qu’ils ne soient pas rempli de pièges, spywares, etc etc… Et surtout, il ne garanti pas que votre site est bien celui que vous affirmez !

En effet, cela revient à dire « je, sous-signé Mr Machin, certifie que mes sites sont corrects et authentiques » … Autrement dit, à vous faire confiance à 100%. Pour quelqu’un qui ne vous connaît pas… il y a de quoi hésiter.

L’idée est donc de faire établir ce certificat par une autorité connu, qui va dire « oui, je déclare que les sites de Mr Machin sont authentiques et fiables » (je simplifie, car authentique ne veut pas nécessairement dire sain et fiable, mais il est bien connu qu’un site usurpant l’identité d’un autre le fait toujours pour vous piéger !).

Les sociétés les plus connues sont Verisign et Thawte . Ces sociétés prennent soin de vérifier votre identité pour éviter les usurpations. Mais voilà… ils vendent leur service très cher. Un certificat SSL 128 bits coûte $ 249 par an chez Thawte, et beaucoup plus pour certains types de certificats… Pas cher pour une grosse société ou un site eCommerce important, mais bien trop pour nous qui gérons notre petit site web ou serveur mails !

Comme souvent dans le libre, ça ne pouvait continuer comme ça ! Certaines personnes sont parties de la question « Pourquoi devrait-on payer cher pour avoir la sécurité ? » et ont créés CACert. CAcert « vend » à un juste prix ces certificats… càd qu’ils sont GRATUITS !

Evidemment, pas de réel support. Vous êtes supposé savoir ce que vous faites et gérer vous même vos demandes de certificats.

Comment est gérée la sécurité alors qu’on fait tout soi-même ?

Car il n’y a pas de contrôle physique (téléphone, confirmation écrite, vérification d’adresses) pour prouver que vous demandez des certificats pour des sites VOUS appartenant bien ? (sinon, vous pourriez demander un certificat signé pour, au hasard, www.laposte.fr et ensuite faire un site authentifié avec un certificat valable !). Ce genre de traitement serait beaucoup trop lourd et il faudrait du personnel… Impossible…

D’abord, vous devez vous enregistrer sur le site de CAcert. Vous pouvez ensuite créer des certificats valables 6 mois maximum. C’est déjà bien, mais un peu contraignant.

Si vous désirez pouvoir créer des certificats valables 2 ans, vous devez vous faire parrainer en allant à une « CAcert assurance » party. Il y en a régulièrement (par exemple, il y en a eu au Fosdem à Bruxelles).

En vous présentant en personne, avec 2 pièces d’identité (carte, visa, permis de conduire), vous prouvez donc que vous êtes bien la personne que vous avez déclaré être sur le site web. A chaque personne qui vous authentifie, vous obtenez des points (en général 10) et quand vous en avez 100, vous obtenez le droit de créer des certificats valables 2 ans. C’est nettement mieux

Malgré tout, qu’est ce qui vous empêcherait de créer des certificats pour un site ne vous appartenant pas, faire passer un de vos sites pour ce site et tromper les utilisateurs ?

Évidemment, CAcert peut révoquer des certificats et bloquer votre compte si des plaintes arrivaient chez eux, mais ce serait un peu tard..

Lors de cette création, CAcert envoie un mail de vérification à une adresse mail de CE domaine (webmaster@mondomaine.be par exemple) et ce n’est qu’après avoir suivi un lien fourni dans ce mail que ce domaine est ajouté dans la liste de vos domaines, et que vous pouvez créer des certificats via le site de CAcert. Évidemment, si le domaine ne vous appartient pas, vous n’aurez certainement pas accès aux mails du domaine, donc pas moyen d’usurper l’identité du site.

Maintenant, que vaut la certification de CAcert ?

Le propriétaire d’un site authentifié par CAcert a quand même passé quelques étapes de sécurité
Il est connu. Il a rencontré physiquement plusieures personnes faisant parties de la communauté CAcert : on est sorti du monde virtuel pour avoir une authentification dans le monde réel
Ses noms et adresses sont vérifiées (carte d’identité, visa, permis) : en cas de problème, en cas d’arnaque, de sites illégaux, etc, on peut donc le retrouver. Si nécessaire, la police obtiendra directement les coordonnées de la personne qui aurait généré le certificat d’un site illégal
Le certificat est généré par CAcert, qui peut le révoquer si nécessaire
Pour un utilisateur, c’est nettement mieux qu’un certificat auto-signé (« j’affirme que mon site est authentique »… ça ne fait pas très sérieux)

Malheureusement, CAcert n’est pas connu comme les autres sociétés de certification commerciales… D’origine, ni Ms Internet Explorer, ni Opera, ni même Firefox ne connaissaient CAcert, et ils vous donnent un message d’alerte « autorité de certification inconnue »

Il est heureusement possible d’ajouter le certificat racine de CAcert dans Firefox, ou Thunderbird, pour que cette autorité soit reconnue. Ensuite, tous les sites (ou serveurs mails) signés avec des certificats CAcert passeront sans problème.

Cette étape, de devoir ajouter le certificat racine de CAcert est génante, mais malgré tout plus sécurisante pour les utilisateurs que de devoir accepté votre ou vos certificats auto-signés sans vous connaitre !

Après la théorie, passons à la pratique.

Je suppose que vous vous êtes déjà enregistré sur le site de CAcert, que vous êtes bien propriétaire ou gestionnaire des domaines pour lesquels vous voulez demander un certificat, et que vous avez accès à une des boîtes mails standard (webmaster@mondomaine.be par exemple) ou que le gestionnaire peut vous transmettre ces mails.

Comment générer un certificat SSL mutil-sites ?

La génération se fait toujours sur le site de CAcert, mais ce que nous voulons ne se trouve pas dans une page et un formulaire standard.

La documentation suivie est celle du site CAcert lui-même. Cette documentation cite plusieurs façons d’arriver au but voulu, mais seule la solution 3 « Certificate with 1 Common name + 2 Subject Alt Name » fonctionne correctement et est acceptée par tous les navigateurs !

A la fin de la page, vous trouverez le script scr.sh . Recopiez le ou téléchargez le. N’oubliez pas de le rendre exécutable :

wget http://guillaume.romagny.free.fr/evaldo/csr.sh

chmod u+x csr.sh

et lancez ce script :

./csr.sh
Private Key and Certificate Signing Request Generator
This script was designed to suit the request format needed by
the CAcert Certificate Authority. www.CAcert.org

Short Hostname (ie. imap big_srv www2): www.misson.net
FQDN/CommonName (ie. www.example.com) : www.misson.net
Type SubjectAltNames for the certificate, one per line. Enter a blank line to finish
SubjectAltName: DNS:webmail.misson.net
SubjectAltName: DNS:didier.misson.net
SubjectAltName: DNS:www.libre-pc.be
SubjectAltName: DNS:www.arthur-deco.be
SubjectAltName: DNS:www.les-objets-de-maman.be
SubjectAltName: DNS:
Running OpenSSL...
Generating a 2048 bit RSA private key
................................+++
..........................................................................................+++
writing new private key to '/home/didier/www.misson.net_privatekey.pem'
-----
Copy the following Certificate Request and paste into CAcert website to obtain a Certificate.
When you receive your certificate, you 'should' name it something like www.misson.net_server.pem

-----BEGIN CERTIFICATE REQUEST-----
MIIC5DCCAcwCAQAwGTEXMBUGA1UEAxMOd3d3Lm1pc3Nvbi5uZXQwggEiMA0GCSqG
SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCtCbvSviyDHM47aRvAQ8LVUjGhpE+bAI0d
...
mwit0zAC/11tW6RNVzdxZiHys5HixqhB
-----END CERTIFICATE REQUEST-----

The Certificate request is also available in /home/didier/www.misson.net_csr.pem
The Private Key is stored in /home/didier/www.misson.net_privatekey.pem

Il reste à aller sur le site de CAcert, à générer un nouveau certificat de domaine (certificat racine de classe 3), et recopier votre « Certificate Signing Request » (la partie en hexadécimal) dans la zone prévue pour.

CAcert vous affiche alors votre certificat serveur. Il vous envoie aussi un mail permettant de le retrouver si nécessaire.

Recopiez le et sauvez le dans un fichier, par exemple le nom conseillé :

vi  www.misson.net_server.pem

et coller le code hexa que vous avez copié depuis le site CAcert.

Transférer maintenant vos 2 certificats, le « private » et le « server » sur votre serveur Web (ou mails) si vous n’avez pas exécuter cette procédure sur le serveur lui-même. Faites le par un moyen sécurisé ! En SSH par exemple (scp). FTP n’est pas vraiment la bonne solution car tout est en clair.

La configuration exacte dépend de votre serveur : Apache2 ou autre serveur Web, serveurs mails, etc…

Sécurisation SSL : Certificat auto-signé multi-sites

Didier Misson — Wed, 04 Jun 2008 22:31:05 +0000

S’il est assez facile de mettre plusieurs sites Web sur un seul serveur Apache en http, càd sans sécuriser la connexion, ce l’est nettement moins si l’on désire mettre plusieurs domaines en https sur le même serveur !

Ce billet vous expliquera donc comment gérer plusieurs sites HTTPS sur un serveur Web avec une seul adresse IP.

Cette explication n’est pas propre à une distribution précise, ni même à Linux. Ce pourrait être BSD, Open Solaris ou même … Windows IIS (je suppose). Le certificat généré peut aussi être utilisé sur un autre serveur Web que Apache2.

La sécurisation se fait en créant un certificat SSL (il serait plus exact de dire TLS), que Apache (ou un autre serveur Web) va utiliser pour crypter la connexion https. Ce certificat normalement est propre à UN domaine.

Le problème est simple à comprendre : Apache et votre navigateur Internet cryptent la communication https dés le début, déjà avant même la réception de l’URL par le serveur Apache. La communication doit donc être cryptée avant qu’Apache ne sache par exemple si vous allez demander l’accès au domaine https://www.monsite.be ou https://webmail.monsite.be, ou même un domaine tout à fait différent comme https://www.siteweb2.com

C’est bien ça le problème !

Apache2 est incapable de prendre le bon certificat de cryptage SSL correspondant au site au quel vous désirez accéder car il doit crypter avant de savoir quel sera ce site !

Il est donc nécessaire de ne configurer que UN SEUL certificat SSL valable pour tous vos sites.

On pourrait être tenté d’utiliser des certificats génériques valables par exemple pour « *.monsite.be » ou même « *.*.be » ou « *.*.* ».

D’abord, tous les navigateurs ne se comportent pas de la même façon avec ce genre de certificats, mais de plus cela peut devenir une grosse faille de sécurité ! En effet, si vous englobez un nombre trop grand de domaine (« *.*.be » par exemple pour permettre à la fois « www.monsite.be » et « www.sitepro2.be »), votre certificat restera valable même en cas de redirection vers un site très différent (« www.virus-mechant.be » par exemple), et comme le certificat SSL restera valide pour ce site, vous risquez de ne pas vous appercevoir de la faille de sécurité !

Donc, pas de certificat générique !

La solution est de faire un certificat pour un de vos domaines et d’indiquer dans ce certificat que le domaine a des « noms alternatifs » (comme des alias).

De cette façon, quand votre navigateur fera le contrôle entre le certificat reçu du serveur Web et le domaine qu’il a demandé, ce certificat correspondra bien tant que le nom de domaine demande est dans la liste, qui peut être assez longue, de noms alternatifs.

Jean-Christophe Dubacq a fait un billet expliquant très bien la solution pour obtenir ce certificat multi-domaines.

Je vais me baser sur ce billet et sur le script qu’il a fait, et qui facilite vraiment les choses

Je me connecte (en ssh…) sur le serveur Web en ligne de commande.

Je récupère d’abord le script et le fichier de config :

wget http://jean-christophe.dubacq.fr/public/source/openssl/createkey.sh
wget http://jean-christophe.dubacq.fr/public/source/openssl/openssl-conf.cnf

Je dois rendre le script exécutable (pas besoin de le faire en root pour créer le certificat) :

chmod u+x createkey.sh

Il ne reste qu’à l’exécuter et à rentrer vos coordonnées et votre liste de domaines et sous-domaines.

Dans mon cas, j’ai un site web et des sous-domaines correspondants à mon blog et à ceux des enfants, ainsi que quelques autres petits sites.

N’oubliez PAS la passphrase (sauvez la). En théorie elle est demandée au démarrage d’Apache, mais je pense que le script la supprime ensuite (c’est quand même plus facile si le serveur redémarre sans votre présence) :

./createkey.sh misson.net www.misson.net didier.misson.net katy.misson.net sylvain.misson.net files.misson.net www.nitro-modelisme.be

passphrase?
 mapassphrasesecrete
 Generating a 1024 bit RSA private key
 ..............++++++
 ...............++++++
 writing new private key to 'privkey.pem'
 -----
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 -----
 Country Name (2 letter code) [FR]:BE
 Locality Name (eg, city) [Paris]:Bruxelles
 Organization Name (eg, company) [World Company]:Didier Misson
 Organizational Unit Name (eg, section) [Internet]:Home
 Common Name (eg, YOUR name) [test.example.org]:www.misson.net
 Email Address [root@example.org]:webmaster@misson.net

Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:monchallengepassword
 An optional company name []:.
 writing RSA key
 Signature ok
 subject=/C=BE/L=Bruxelles/O=Didier Misson/OU=Home/CN=www.misson.net/emailAddress=webmaster@misson.net
 Getting Private key
 misson.net.passphrase is the passphrase of your certificate. VERY PRIVATE
 misson.net.csr is the initial request of your certificate. PUBLIC
 misson.net.cnf is the extension section of your certificate. PUBLIC
 misson.net.key is the unprotected key of your certificate. PRIVATE
 misson.net.pkey is the protected key of your certificate. PRIVATE
 misson.net.crt is the certificate itself. PUBLIC
 misson.net.pem is the combined certificate/unprotected key. PRIVATE

Les éléments importants sont la clé privée (.key) et le certificat publique (.crt)

Vérifiez bien les permissions de ces éléments pour que seuls « root » et le userid utilisé par le werveur Web puissent lire ces clés (www-data si c’est Apache2).

sudo chown www-data:www-data misson.net.*
sudo chmod 400 misson.net.*

Déplacez ces 2 clés dans le dossier ssl d’Apache2 (vérifiez votre config si vous utilisez un autre serveur Web) :

mv misson.net.crt /etc/apache2/ssl
mv misson.net.key /etc/apache2/ssl

Il reste à configurer Apache2 pour utiliser ce certificat pour sécuriser l’accès à un domaine ou un dossier. Ce n’est pas l’objet de ce billet, mais voici un exemple simple :

vi /etc/apache2/sites-available/didier


        ServerName didier.misson.net
        DocumentRoot /var/www/didier
        ErrorLog /var/log/apache2/didier-error_log
        CustomLog /var/log/apache2/didier-access_log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/misson.net.crt
        SSLCertificateKeyFile /etc/apache2/ssl/misson.net.key

...

et évidemment, vérifier qu’il n’y a pas d’erreurs de syntaxe dans la config, et recharger Apache2 :

# apache2 -t
Syntax OK

# /etc/init.d/apache2 reload

Voilà, vous avez votre certificat auto-signé, valable pour tous vos domaines et sous-domaines.

Je viens de remarquer qu’il y avait une petite particularité avec le nouveau Firefox 3.

Ce certificat est auto-signé.

Ok, on accède à votre site en https. Mais si le cryptage garantit la confidentialité (échange de mot de passe, etc), il ne garantit pas à vos visiteurs que votre site soit correct, sans virus, sans attaque, etc… Ni même que c’est bien votre site ! En effet, n’importe qui peut se créer un certificat auto-signé au nom d’un site connu (www.bill.com par exemple) et se faire passer pour vous.

Si vous aviez acheté en payant bien cher un certificat chez une autorité reconnue, comme Verisign, la situation serait différente ! Verisign garantirait que c’est bien vous qui avez demandé la création de ce certificat. Ce n’est pas le cas ici (bien trop cher Verisign) et personne de connu et de sérieux n’affirme haut et fort que vous êtes digne de confiance…

Et bien, ça, Firefox 3 le signale ! Il donne un message d’erreur indiquant que le certificat est auto-signé et considéré comme non sûr :

Il est heureusement possible de continuer, en forçant Firefox 3 à considérer votre site personnel comme fiable et à accepter le certificat

Mais il y a une autre possibilité : ne pas utiliser un certificat auto-signé, mais le faire générer par une autorité de certification « reconnue » …

Laissons donc tomber Verisign & co, bien trop cher pour un particulier ou un petit site… et tournons nous vers CAcert

CAcert, si elle n’est pas encore vraiment une autorité reconnue, est déjà plus appréciée que votre propre signature personnelle totalement inconnue de vos visiteurs

De plus, et c’est ce qui m’importe présentement : CAcert est une structure communautaire qui fourni des certificats gratuitement !

Générer un certificat signé par CAcert, valable pour plusieurs domaines et sous-domaines sur une seule adresse IP sera l’objet de mon prochain billet

Debian : faille de sécurité dans OpenSSL

Didier Misson — Thu, 15 May 2008 14:41:19 +0000

Vous l’avez peut-être déjà lu, mais une faille de sécurité assez critique affecte OpenSSL dans les distributions Debian et dérivés (Ubuntu par exemple). OpenSSL est utilisé pour les connexions « sécurisées » en SSH et les certificats SSL des sites web. Ce sont les applications les plus connues, mais d’autres utilisent également OpenSSL, comme OpenVPN, IMAPS, POPS…

dessin en licence CC by nc du site Xkcd

Le problème, propre à la version inclue dans Debian, est que le générateur de nombre aléatoire utilisé pour générer la clé, n’est pas vraiment aléatoire… Pas aléatoire veut dire prédictible, c’est à dire qu’on peut trouver votre clé et entrer en SSH dans votre serveur ou se faire passer pour vous en générant un faux certificat SSL, etc…

Je ne vais pas tout réexpliquer en détail. Les articles suivants vous en disent un peu plus :

La première chose à faire est de mettre à jour sa distribution. Ainsi les modules corrigés seront installés :

aptitude update

aptitude dist-upgrade

Mais ce n’est PAS suffisant !

Les clés faibles (càd facilement crackables) sont encore utilisées sur votre machine.

Il est nécessaire de recréer ces clés !

La procédure varie suivant le programme en cause.

Je reviens sur cette regénération des clés dans mon prochain billet.

Sécurisation SSL : configuration Apache pour phpMyAdmin en https

Didier Misson — Sun, 06 Jan 2008 17:41:24 +0000

Après avoir généré un certificat auto-signé pour le sous-domaine « phpmyadmin.misson.net »,
je vais maintenant configurer Apache 2.

J’ai pris phpMyAdmin comme exemple, et car je pense que cet accès doit être sécurisé, mais vous pouvez vous baser sur ce billet pour sécuriser tout autre site ou sous-domaine.

A l’installation de phpMyAdmin, un fichier de configuration a été créé dans la liste des sites disponibles pour Apache.
Je vais d’abord, par soucis de clarté, changer le nom de ce membre.

D’abord, je le désactive d’Apache 2 :

$ sudo a2dissite phpmyadmin Site phpmyadmin disabled; run /etc/init.d/apache2 reload to fully disable.

Je veux que phpMyAdmin réponde à l’URL http://phpmyadmin.misson.net
et par après, à l’URL https://phpmyadmin.misson.net

Je renomme le fichier (je vais faire un COPY pour conserver l’original, en cas d’erreur) :

$ sudo cp phpmyadmin phpmyadmin.misson.net

Le fichier de définition pour l’accès en http ressemble à ceci :

# phpMyAdmin default Apache configuration < VirtualHost phpmyadmin.misson.net:80>         ServerName phpmyadmin.misson.net         DocumentRoot /usr/share/phpmyadmin         ErrorLog /var/log/apache2/phpmyadmin.misson.net-error_log         CustomLog /var/log/apache2/phpmyadmin.misson.net-access_log combined ## Alias /phpadmin03 /usr/share/phpmyadmin < Directory /usr/share/phpmyadmin>         Options Indexes FollowSymLinks         DirectoryIndex index.php         # Authorize for setup         < Files setup.php>             # For Apache 1.3 and 2.0             < IfModule mod_auth.c>                 AuthType Basic                 AuthName "phpMyAdmin Setup"                 AuthUserFile /etc/phpmyadmin/htpasswd.setup             < /IfModule>             # For Apache 2.2             < IfModule mod_authn_file.c>                 AuthType Basic                 AuthName "phpMyAdmin Setup"                 AuthUserFile /etc/phpmyadmin/htpasswd.setup             < /IfModule>             Require valid-user         < /Files>         < IfModule mod_php4.c>                 AddType application/x-httpd-php .php                 php_flag magic_quotes_gpc Off                 php_flag track_vars On                 php_flag register_globals Off                 php_value include_path .         < /IfModule>         < IfModule mod_php5.c>                 AddType application/x-httpd-php .php                 php_flag magic_quotes_gpc Off                 php_flag track_vars On                 php_flag register_globals Off                 php_value include_path .         < /IfModule> < /Directory> < /VirtualHost>

Adaptations simples donc, qui ne font que de rendre disponible à l’URL http://phpmyadmin.misson.net/

N’oubliez pas que, pour rendre une modification active dans Apache2, il faut le recharger :

$ sudo /etc/init.d/apache2 reload  * Reloading web server config apache2                               4484                                                                                    [ OK ]

Pour rendre accessible phpMyAdmin en https, il faut évidemment modifier le port en 443, inclure les définitions pour le SSL et les certificats à utiliser.
Mais si je ne mets que les définitions pour le SSL en 443, j’ai un comportement étrange : l’URL http://phpmyadmin.misson.net/ répond toujours, mais avec une mise en page foireuse (probablement qu’il ne trouve plus les CSS).

Pour éviter cela, et comme je ne veux pas laisser la possibilité de s’authentifier dans phpMyAdmin dans être en mode encrypté, je force le mode ssl.
Une documentation à ce sujet sur Ubuntu-fr.org.

Je vais donc rediriger les appels http vers https :

$ sudo vi /etc/apache2/sites-available/phpmyadmin.misson.net

# phpMyAdmin default Apache configuration < VirtualHost phpmyadmin.misson.net:80>     ServerName  phpmyadmin.misson.net     Redirect / https://phpmyadmin.misson.net < /VirtualHost> < VirtualHost phpmyadmin.misson.net:443>         ServerName phpmyadmin.misson.net         DocumentRoot /usr/share/phpmyadmin         ErrorLog /var/log/apache2/phpmyadmin.misson.net-error_log         CustomLog /var/log/apache2/phpmyadmin.misson.net-access_log combined         SSLEngine on         SSLCertificateFile /etc/apache2/ssl/phpmyadmin.misson.net.crt         SSLCertificateKeyFile /etc/apache2/ssl/phpmyadmin.misson.net.key ## Alias /phpadmin03 /usr/share/phpmyadmin          Options Indexes FollowSymLinks         DirectoryIndex index.php         # Authorize for setup          ...

Au cas où vous ne l’auriez pas encore fait, il faut activer ce site dans la liste des listes d’Apache 2, et recharger Apache :

$ sudo a2ensite phpmyadmin.misson.net Site phpmyadmin.misson.net installed; run /etc/init.d/apache2 reload to enable. $ sudo /etc/init.d/apache2 reload  * Reloading web server config apache2

Cela devrait fonctionner ! Et voilà, si vous utilisez l’URL http://phpmyadmin.misson.net, vous êtes automatiquement redirigé vers la page HTTPS du même site

Une autre utilisation serait, par exemple, de forcer l’accès à un WebMail en https.
Cela éviterait que des userids et mots de passe circulent en clair sur le Net !

Sécurisation SSL : Certificat autosigné

Didier Misson — Sat, 05 Jan 2008 23:34:23 +0000

J’ai expliqué dans un précédent billet, comment obtenir un certificat signé par l’autorité de certification CAcert.org.

Il y a des cas où il n’est pas nécessaire de passer par une autorité connue.
Par exemple, pour des sous-domaines à usage personnel (en théorie non accessible par le public), ce n’est pas nécessaire.
On peut alors utiliser un certificat autosigné, càd que je vais générer et signer moi-même.

Je me base sur le billet « Génération certificats pour Apache » de Gabriel Magniez.

Je vais, comme exemple, générer un certificat autosigné pour mon accès personnel à PhpMyAdmin.

Pour ce billet, mon accès sera à l’URL http://phpmyadmin.misson.net

Ce n’est pas la peine d’essayer d’atteindre cette URL, j’utilise en réalité un nom moins facile et qui de toute façon n’est pas dans les DNS Internet

J’ai déjà généré un certificat avec CAcert.org, mais ce certificat est pour le site « misson.net » (il faudra que j’en fasse également un pour www.misson.net), mais il n’est pas valide pour « phpmyadmin.misson.net ».

Je génère donc un certificat pour « phpmyadmin.misson.net ».
J’ai un dossier /etc/ssl/CA qui est uniquement accessible par « root » (même en Ubuntu, oui).
Vous pouvez utiliser un autre dossier, mais par sécurité, ce dossier ne doit être accessible QUE par root !

sudo bash

Attention, une fois en root, toutes vos commandes passent, même les plus dangereuses (ne vous trompez pas de dossiers, etc).

# cd /etc/ssl/CA

Il faut d’abord générer la clé RSA du serveur. J’ai choisi de lui donner un nom propre au sous-domaine dont je veux générer le certificat :

# openssl genrsa -out phpmyadmin.misson.net.key 1024 Generating RSA private key, 1024 bit long modulus ............................++++++ .++++++ e is 65537 (0x10001)

La clé RSA est bien générée :

root@abrasd03:/etc/ssl/CA# ls -l -rw-r--r-- 1 root root  887 2008-01-06 17:01 phpmyadmin.misson.net.key

Je génère le certificat auto-signé pour mon sous-domaine « phpmyadmin » :

root@abrasd03:/etc/ssl/CA# openssl req -new -x509 -days 1096 -key phpmyadmin.misson.net.key -out phpmyadmin.misson.net.crt You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:BE State or Province Name (full name) [Some-State]:Brabant Wallon Locality Name (eg, city) []:Braine-l'Alleud Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ets Misson Organizational Unit Name (eg, section) []:Misson Didier Common Name (eg, YOUR name) []:phpmyadmin.misson.net Email Address []:webmaster@misson.net

Le paramètre -day est la durée de validité du certificat. 1096, ça fait 3 ans (en comptant une année bissextile).
Attention au paramètre « Common Name (YOUR name) » : c’est le nom, l’URL de votre serveur !

Vous pouvez vérifier votre certificat par la commande :

# openssl x509 -in phpmyadmin.misson.net.crt -text -noout Certificate:     Data:         Version: 3 (0x2)         Serial Number:             e4:0c:40:84:2e:ba:5e:03         Signature Algorithm: sha1WithRSAEncryption         Issuer: C=BE, ST=Brabant Wallon, L=Braine-l'Alleud, O=Ets Misson, OU=Misson Didier, CN=phpmyadmin.misson.net/emailAddress=webmaster@misson.net         Validity             Not Before: Jan  6 16:13:13 2008 GMT             Not After : Jan  6 16:13:13 2011 GMT         Subject: C=BE, ST=Brabant Wallon, L=Braine-l'Alleud, O=Ets Misson, OU=Misson Didier, CN=phpmyadmin.misson.net/emailAddress=webmaster@misson.net         Subject Public Key Info:             Public Key Algorithm: rsaEncryption             RSA Public Key: (1024 bit)                 Modulus (1024 bit):                     00:ac:88:bb:d1:f6:49:d5:98:b9:53:fe:3b:af:ba: ...

On remarque que ce certificat est bien valable 3 ans

Il reste à recopier le certificat et la clé privée dans le dossier pour le serveur Apache :

 # cp phpmyadmin.misson.net.crt /etc/apache2/ssl # cp phpmyadmin.misson.net.key /etc/apache2/ssl

La suite, c’est la configuration d’Apache pour que l’accès à phpMyAdmin se fasse en https (ssl).
Ce sera pour le billet suivant.

Configuration SSL : configuration Apache 2

Didier Misson — Thu, 27 Dec 2007 00:57:23 +0000

Après avoir généré un certificat auto-signé, ou mieux, l’avoir demandé à CAcert, il reste à configurer Apache 2 avant de pouvoir faire du HTTPS.

Je me baserai sur la documentation sur la sécurisation d’Apache 2 venant du site ubuntu-fr.org.

Si vous voulez en savoir plus sur le fonctionnement de SSL, voir cette page.

Tout n’est pas inclu d’origine dans Apache2. Certaines fonctionnalités sont sous forme de modules, ce qui évitent de les charger si elles ne sont pas utilisées.

C’est le cas du fonctionnement en SSL (https). Pour l’activer il faut charger un module, qui, s’il est normalement présent dans l’installation d’Apache 2, n’est pas activé à l’origine :

$ sudo a2enmod ssl Module ssl installed; run /etc/init.d/apache2 force-reload to enable.

Il faut maintenant recharger Apache 2 pour qu’il soit capable de supporter des sites en HTTPS.

Mais avant cela, il serait bon de compléter certaines configurations.

Pour le moment, même si Apache pourrait supporter le protocole SSL, il n’écoute probablement que sur le port 80 (http).
Le standard que tout le monde (et tous les navigateurs) suit est :

http sur le port 80
htts sur le port 443

Il faut donc vérifier si Apache 2 écoute bien aussi sur le port 443.

$ sudo vi /etc/apache2/ports.conf

Listen 80 < IfModule mod_ssl.c>     Listen 443 < /IfModule>

(ne pas mettre les « blancs » en début de balises. Je les ai ajouté sinon la balise ne s’affiche pas sur ce blog)

C’est bien le cas chez moi.
D’une façon assez intelligente, Apache 2 va tester lui-même la présence du module SSL, et si celui-ci est activé, il écoutera aussi sur le port 443.

Si ce n’est pas le cas chez vous, ajouter une ligne « Listen 443« , ou mieux, recopié ce fichier de définition.

Il faut aussi une directive « NameVirtualHost » qui utilise le port 443.

$ sudo vi /etc/apache2/apache2.conf

J’ajoute une ligne sur le port 443 :

### ServerName localhost ServerName 192.168.1.100 NameVirtualHost 192.168.1.100:80 NameVirtualHost 192.168.1.100:443

Attention, vous ne pouvez pas laisser un « NameVirtualHost 192.168.1.100:* » !
Si vous précisez un port 443, vous ne pouvez plus avoir « * », il faut préciser explicitement le port 80 aussi.

Ce n’est pas encore complet, mais redémarrons Apache 2 pour voir les messages :

$ sudo /etc/init.d/apache2 reload  * Reloading web server config apache2                                     23787 [Sun Dec 23 08:29:23 2007] [warn] NameVirtualHost 192.168.168.251:443 has no VirtualHosts                                    [ OK ]

Effectivement, aucune définition de site web n’utilise encore le https.

Je fais mes essais sur le site « misson.net » et « www.misson.net« .
Pour rappel, j’ai fait le certificat SSL sur « misson.net », mais je verrai cela ensuite.

je vais d’abord copier les certificats pour Apache 2 et les mettre dans un dossier SSL (c’est un choix, ce n’est pas obligatoire) :

$ cd /etc/apache2/ $ sudo mkdir ssl

Attention, mon dossier CA n’est accessible qu’à ROOT…
Je ne sais pas y accéder avec un SUDO.

$ sudo bash :/etc/apache2# cp /etc/ssl/CA/misson.net.cert ssl :/etc/apache2# cp /etc/ssl/CA/misson.net.key ssl :/etc/apache2# exit

Mes 2 clés sont maintenant dans mon dossier /etc/apache2/ssl.

Passons à la définition du site https :

$ sudo vi /etc/apache2/sites-available/misson.net

ServerName www.misson.net ServerAlias misson.net DocumentRoot /var/www/misson.net ErrorLog /var/log/apache2/misson.net-error_log CustomLog /var/log/apache2/misson.net-access_log combined

Si je veux que le site soit accessible à la fois eh http et https :

< VirtualHost www.misson.net:80>         ServerName www.misson.net         ServerAlias misson.net         DocumentRoot /var/www/misson.net         ErrorLog /var/log/apache2/misson.net-error_log         CustomLog /var/log/apache2/misson.net-access_log combined < /VirtualHost> < VirtualHost www.misson.net:443>         ServerName www.misson.net         ServerAlias misson.net         DocumentRoot /var/www/misson.net         ErrorLog /var/log/apache2/misson.net-error_log         CustomLog /var/log/apache2/misson.net-access_log combined         SSLEngine on         SSLCertificateFile /etc/apache2/ssl/misson.net.cert         SSLCertificateKeyFile /etc/apache2/ssl/misson.net.key < /VirtualHost>

Attention, si vous avez d’autres sites web définis, il faut préciser le VirtualHost sur le port 80 pour tous les sites.
Vous ne pouvez pas laisser un membre avec < VirtualHost www.mondomaine.be:*>
Il faut mettre < VirtualHost www.mondomaine.be:80> pour tous les sites, y compris ceux qui n’ont rien de défini pour le https.

Voilà, j’ai bien mon site Web qui répond à l’adresse https://misson.net

Mais le certificat n’est pas reconnu comme valide

Ne faites PAS « Accepter » !

Le but n’est PAS de faire accepter ce site Web https://misson.net, mais de faire accepter TOUS les sites, les vôtres et les autres, dont les certificats seront signés par l’autorité CAcert.
Ca vous évitera de devoir accepter tous les certificats des sous-domaines (webmail.misson.net, phpmyadmin.misson.net, compta.misson.net, etc etc).

Si je regarde le détail :

Le certificat est bien pour le site « misson.net« .

Je pense que ce certificat est bon.
C’est probablement l’autorité de certification CAcert qui n’est pas reconnue.

Vérifions dans les préférences de Firefox :

Effectivement ! CAcert n’est pas dans la liste des autorités reconnues.

Tant que Mozilla Foundation n’a pas officiellement inclus CAcert dans les autorités reconnues, il faut l’ajouter manuellement.

Retournons sur la page des « Root certificats » du site CAcert.

Mon erreur vient du fait que, lors de mes essais précédents, j’avais cliqué sur « Class 3 PKI key » et pas sur « Class 1 PKI Key (PEM Format)« .

Je clique sur ce lien et Firefox me donne le message :

Le détail.

Cela semble correct.

Je sélectionne les 3 confirmations pour les sites Web, pour le courrier et pour les développeurs.

Je valide.

Voilà, ça devrait fonctionner.

Je retourne à ma page https://misson.net, où je n’avais pas accepté le certificat.
Je recharge la page, et cette fois, oui ! La page s’affiche sans message d’avertissement.

Mon certificat est valide, Firefox a accepté CAcert comme autorité de certification, et Apache 2 est maintenant bien configuré

Sécurisation SSL : Certificat par CAcert.org

Didier Misson — Sat, 22 Dec 2007 08:48:36 +0000

Un certificat est nécessaire pour configurer Apache en SSL, càd pour pouvoir faire du https.

N’ayant pas les moyens (ni le désir) de payer dans les 400 € par an à une société tels que Thawte ou VeriSign pour sécuriser l’accès à mes sites web (webmail par exemple), j’ai choisi de demander mon certificat à CAcert.

Avant de demander un certificat chez CAcert, il faut savoir que CAcert est encore assez récent, et de ce fait, n’est pas encore reconnu officiellement comme « autorité de certification ». C’est à dire que vos navigateur Ms IE et Firefox n’ont pas en standard la clé racine de CAcert.
Quand vous accédez à un site certifié par CAcert, vous avez donc un message signalant le problème…

Voir à ce sujet mon billet précédent.

Donc, le certificat racine définissant CAcert comme autorité reconnue de certification n’étant pas inclus en standard dans les navigateurs actuels, il faut l’ajouter manuellement.

Allez sur la page contenant les certificats racines de CAcert.

J’ai cliqué sur le certificat de classe 3 au format PEM.

CORRECTION 27 déc. 2007 : Il ne faut pas choisir le certificat de classe 3, mais le « Class 1 PKI key Root Certificat (format PEM)«

Automatiquement, Firefox reconnaît que c’est un certificat racine et me donne le message :

Si je visualise le certificat :

Effectivement, CAcert n’est pas une autorité reconnue par mon navigateur Firefox.

Je sélectionne les 3 choix, donc je reconnais que CAcert est une autorité de certification compétante pour ces 3 choix.

S’enregistrer chez CAcert.org :

On ne peut pas dire que ce soit compliqué.
Il suffit de remplir le formulaire se trouvant sur la page « S’inscrire ».

Une adresse email valide (et un mot de passe « sérieux ») est nécessaire pour que vous receviez le mail de confirmation.
Dans l’interface de gestion, vous pouvez si nécessaire ajouter d’autres adresses mail.

Vous pouvez également définir votre langue par défaut, et votre localisation géographique.

La suite est moins évidente…

Pour demander un certificat à CAcert.org pour votre site, il faut générer sur votre serveur une demande de certificat, un CSR.
Cette demande de certificat contiendra des informations au sujet de votre site web, et surtout la clé publique de votre site.

Donc, commençons par générer vos clés publique (qui sera envoyée à CAcert) et privée (qui ne doit JAMAIS être divulgée).

En Linux, OpenSSL est habituellement le moyen utilisé pour générer ces clés.

Ah… et bien, je n’ai pas encore installé OpenSSL sur ce serveur

$ sudo aptitude install openssl

Générons les 2 clés :

Remarque : Pour la définition des domaines sur le site de CAcert, il est conseillé de définir d’abord le domaine sans sous domaine, càd d’abord « mondomaine.be » et pas « www.mondomaine.be » !

Prenez note : Vous avez seulement besoin de saisir la partie principale de votre domaine, par exemple mondomaine.com plutôt que www.mondomaine.com ou www.ceci.est.mon.domaine.com comme le système vérifie le nom de domaine de droite à gauche, c’est préférable à la création de noms de sous-domaines quand vous chargez un CSR dans le système.

Pour garder un champ vide, tapez un « . » .

# openssl req -nodes -new -days 1100 -keyout mondomaine.be.key -out mondomaine.be.csr

Generating a 1024 bit RSA private key .............++++++ ......................++++++

writing new private key to 'mondomaine.be.key' -----
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value, If you enter '.', the field will be left blank.
 -----

Country Name (2 letter code) [AU]:BE
State or Province Name (full name) [Some-State]:Brabant Wallon
Locality Name (eg, city) []:Braine-l'Alleud
Organization Name (eg, company) [Internet Widgits Pty Ltd]:.
Organizational Unit Name (eg, section) []:.
Common Name (eg, YOUR name) []:mondomaine.be Email Address []:didier.misson@mail.com
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:monmotdepasse
An optional company name []:.

N’oublie pas le « challenge password » !

Attention au paramètre « Common Name« , Your Name, c’est le nom réel de votre SITE web (pas votre nom de famille…)

Le paramètre « -day 1100 » permet de définir la durée de validité des clés (ici un peu plus de 3 ans). Par défaut il est de 365 jours.
Je ne suis pas sûr qu’il soit utile ici.
De toute façon, la durée de validité des certificats générés par CAcert est de 6 mois, sauf si on est « parrainé », alors elle est de 2 ans (je verrai ce point plus tard).

2 fichiers ont été générés :

mondomaine.be.csr : votre demande de certificat pour CAcert
mondomaine.be.key : votre clé privé que vous gardez bien précieusement dans un dossier où seulement ROOT à accès

Le CSR, demande de certificat, ressemble à ceci :

# less mondomaine.be.csr

Revenons au site CAcert.org :

Choisissez dans le menu « Domaine / Add« .

Introduisez votre nom de domaine « mondomaine.be » et cliquer sur « add ».

CAcert vous propose une liste d’adresses mail de confirmation.
Je sélectionne « webmaster@mondomaine.be ».
Évidemment ce mail doit être configuré pour que vous puissiez recevoir le mail envoyé par CAcert.

CAcert m’affiche le message suivant :

The domain ‘mondomaine.be’ has been added to the system, however before any certificates for this can be issued you need to open the link in a browser that has been sent to your email address.

J’ai bien reçu un mail sur l’adresse correspondante. Je suis le lien :

Je click sur « Yes verify this domain ».

Updated Your domain has been verified. You can now start issuing certificates for this domain.

Le domaine est donc vérifié, c’est à dire que CAcert est certain que celui qui va faire la demande de certificat (moi) est bien quelqu’un ayant un pouvoir réel sur ce domaine : soit je suis le propriétaire de ce nom de domaine, soit celui-ci m’a donné autorité (contact technique) ou accès à une des adresses mails. En effet, j’ai accès au mail d’une des adresses reconnues de ce domaine (webmaster@mondomaine.be).

Générer un certificat

Aller dans le menu de CAcert dans « Certificats de domaines / Nouveau »

Il vous faut copier/coller votre CSR :

less mondomaine.be.csr

Et coller le texte dans la zone « CSR » du site CAcert :

Veuillez svp vous assurer que les détails suivants sont corrects avant de continuer. Nom commun (CommonName): mondomaine.be Aucune information supplémentaire ne sera insérée dans nos certificats puisqu’elles ne peuvent pas être verifiée automatiquement par le système.

Je valide et j’obtiens une page me donnant mon certificat serveur.

Je copie ce texte, c’est mon certificat, et je le sauve dans un fichier mondomaine.be.pem

Et voilà !

Reste à configurer Apache2.

Ce sera pour un billet suivant.

Sécurisation SSL : pourquoi demander son certificat chez CAcert.org ?

Didier Misson — Fri, 21 Dec 2007 23:13:41 +0000

Un certificat est nécessaire pour configurer Apache en SSL, càd pour pouvoir faire du https.

Pourquoi du https ?

Déjà simplement, pour que vos données, tel que userids et mots de passe, par exemple pour l’accès à un Webmail, ne circulent pas en clair sur le Net, ou pour des sites d’eCommerce (ce n’est pas mon cas actuellement), pour l’accès à certains dossiers d’administration (phpMyAdmin par exemple).

Mais un certificat permet aussi d’authentifier votre site Web et ainsi de certifier que ce site est bien le votre et pas un site essayant de se faire passer pour vous.

Le plus simple est de générer soit-même un certificat SSL.
Evidemment, n’importe qui peut faire cela, y compris quelqu’un qui essayerait de se faire passer pour vous.
Ce qui veut dire aussi que, pour la personne qui est devant son PC, pourquoi vous faire confiance, plutôt qu’à un autre ?
Rien ne prouve en effet que le site Web qui est en https et qui utilise un certificat auto-généré, soit bien le VOTRE !

Pour en être sur, il faut faire intervenir un partenaire.
Partenaire qui va dire à votre utilisateur : « oui ! Le site www.misson.net, je le connais et je certifie que sa signature est valable ! ».

C’est le principe de l’autorité de certification.

Plusieurs sociétés privées existent qui remplissent ce rôle… gratuitement évidemment…
euh… Non ! Pas vraiment !

On devrait même dire « Vraiment PAS gratuitement » !

Les sociétés les plus connues sont VeriSign et Thawte.

Les prix habituellement demandés pour un certificat valable 1 AN (et oui, il faut repayer régulièrement) sont dans les 4 à 500 € hors taxe !
En payant pour 3 ans, vous « descendez » dans les 1000 à 1200 € hors taxe pour 3 ans, PAR SITE WEB.

C’est à dire que si vous avez www.monsiteweb.be, webmail.monsiteweb.be, forum.monsiteweb.be, il vous faudrait 3 certificats, et payer 3 fois…

Si ce prix de 400 € par an et par site n’est rien pour de grosses sociétés tels que (au hasard) Total, la SNCF ou Air France qui acceptent sans problème de payer cette somme pour sécuriser leur site eCommerce, ce n’est évidemment pas abordable pour un particulier.

Heureusement, une communauté s’est formée et a décidé de créer CAcert, dans le but d’offrir l’accès libre et gratuit à la sécurité au plus grand nombre de personne.

CAcert peut donc vous permettre de demander on-line un certificat pour authentifier un de vos sites, et cela gratuitement !

Est-ce que cela change quelque chose d’avoir un certificat (un site web) authentifié par CAcert, au lieu de VeriSign par exemple ?

En théorie non… En pratique, une autorité de certification doit aussi être reconnue !
Les navigateurs courants (Ms IE, Firefox) ont déjà les clés publiques des autorités reconnues.

Ainsi, quand vous arrivez en https sur le site de VeriSign, ou sur un site dont le certificat a été authentifié par VeriSign (et donc qui a accepté de payer ces 400 € par an), Ms IE ou Firefox l’acceptent directement.

Ce n’est pas encore le cas pour CAcert, petit nouveau pas encore très connu.
De ce fait, votre navigateur va vous dire qu’il ne connait pas cette autorité de certification…

Quel est l’intêret alors ?
Au lieu d’avoir un message d’avertissement sur le certificat auto-signé de votre site, l’utilisateur aura un message d’avertissement disant que l’autorité de certification est inconnue…

Exact, mais je vois malgré tout plusieurs intérêts :

votre certificat auto-signé, le client est obligé de lui faire confiance. Personne d’autre que vous même n’affirmer que votre site est digne de confiance !
le certificat signé par CAcert, au moins c’est déjà une organisation différente, ce n’est plus vous-même pour votre propre compte
si vous gérez plusieurs sites, ou sous-domaine, vous devez avoir plusieurs certificats… Vos utilisateurs auront ce message d’avertissement pour tous vos sites et sous-domaines ! Avec des certificats tous signés par CAcert, l’utilisateur n’aura qu’une seule fois le message d’avertissement
il suffit d’une seule opération pour faire accepter CAcert comme nouvelle autorité de certification à votre navigateur. Avec des certificats auto-signés, il faut que l’utilisateur accepte un à un tous vos certificats
choisir CAcert, c’est cassé le monopole des grosses firmes genre VeriSign, bien trop chères pour le particulier. Plus il y aura de sites certifiés par CAcert, plus connu sera CAcert, et cette alternative gagnera en crédibilité
Il y a quand même déjà des dizaines de milliers de sites Web certifiés par CAcert… Ce n’est plus si négligeable que ça. L’utilisateur peut rencontrer d’autres sites signés aussi par CAcert. C’est mieux que votre certificat auto-signé par vous tout seul.
CAcert essaye actuellement d’avoir la reconnaissance par Mozilla Foundation. Il n’y aura alors plus aucun problème avec les sites authentifiés par eux avec Firefox et ses dérivés.

En effet, CAcert a démarré une procédure pour demander à Mozilla de les incorporer parmi les autorités de certifications reconnues par Firefox, mais cette procédure peut encore prendre « un certain temps ».
Pour que CAcert soit aussi reconnu dans les navigateurs tel que Ms IE, la procédure ne semble pas trop compliquée… mais coûte excessivement cher pour CAcert.

De ce fait, pour le moment, CAcert.org n’est pas automatiquement reconnu comme une autorité valide par votre navigateur.

La solution, pour ne pas avoir de message de warning à chaque fois, est d’ajouter le certificat racine de CAcert dans votre Firefox.

Cette procédure est expliquée sur le site Poivron.org ainsi que sur cette 2ème page.

Pour que ce billet ne soit pas trop long, je le divise en 2.

Après cette première partie sur les généralités et mon choix de CAcert, je continuerai donc pour la configuration, dans un 2ème billet.