Archives du mot-clé ssl

StartSSL – Une autorité de certification raisonnable

Disposer de services sécurisés par un certificat ssl est devenu indispensable dès lors que l’on propose un espace ou la vie privée à sa place et à fortiori si il y a échange de mot de passe.

Il est toujours possible de se générer un certificat auto-signé, cela ne coute rien et chiffre aussi efficacement les données que s’il émanait de Verisign ou Thawte. Cependant le “client” qui ne vous connait pas, ne profite pas d’une relation de confiance auprès d’un tiers qui lui garanti que vous êtes bien qui vous prétendez être (il vous a identifié et à associé la propriété du nom de domaine à votre personne/entreprise).

Heureusement, il n’y a pas que des requins prets à faire payer des sommes folles pour des services totalement dénués de coûts réels et justifiant leurs pratiques commerciales par des assurances et des garanties dont vous n’avez sans doute pas besoin (sauf vous êtes une banques ou un très gros site de vente en ligne).

StartSSL (https://startssl.com) est un partenaire fiable, reconnu nativement par tous les grands navigateurs de dernières générations et qui ne fait payer que les services qui lui coûtent (intervention humaine) ou qui auraient pu être évités (révocations de certificats sans motif valable).

Niveaux de validation

Class 1 : Validation de base (gratuit)

Cela consistera à valider votre adresse courriel et/ou un nom de domaine, c’est toujours le même principe : envoi d’un code sur l’adresse courriel choisie ou d’administration du domaine (au choix hostmaster@ postmaster@)

La validation est valable 30 jours durant lesquels vous pouvez créer des certificats SSL/TLS ou S/MIME gratuits à volonté qui auront une validité d’1 an. Après ces 30 jours vous devrez recommencez le processus de validation pour l’adresse ou le domaine si vous désirez créer de nouveaux certificats.

Attention ce niveau de validation ne permet pas de gérer plusieurs domaines ni de créer des certificats génériques du type *.votredomaine.tld Pour ce faire il faut passer à l’étape payante de la classe 2.

Class 2 : Validation d’identité/d’organisation

59.99$ chaque
Là vous devrez fournir des documents d’identité (Carte d’identité, passeport, permis de conduire) et/ou un mandat de votre entreprise, les statuts, etc pour l’organisation. La validation d’un organisation suppose d’avoir préalablement rélaisé la validation d’identité et implique un second paiement soit dans ce cas 119.98$ au total.

La validation de couriels et domaines pour 30 jours est toujours de mise, mais vous pouvez générer des certificats valides pour 2 ou 3 ans et disposer de domaines multiples dans vos certificats ainsi que de *.votredomaine.tld

D’autres options sont encore possibles, à consulter sur le site, mais ce n’est pas le propos ici.

Créer son compte

S’inscrire

Une fois sur le site, on choisi l’icône en haut à droite de l’écran : login
On arrive sur une page où il sera possible de s’identifier à l’avenir pour gérer sa PKI et surtout, où nous allons créer notre premier compte (il faut un compte pour chaque entreprise, pas pour chaque domaine).
Nous choisissons donc Sign-Up : Sign-up

Nous remplissons le formulaire. Tous les champs doivent être remplis par des informations réelles et personnelles, ces informations seront vérifiées par la suite (par exemple, validation auprès des annuaires téléphonique du lien entre nom, téléphone et adresse).

En cliquant sur “Continue“, nous devons confirmer que les informations ont été remplies de façon conforme et honnête et que nous adhérons aux règles de l’Autorité de Certification (CA).

Un mail est envoyé à l’adresse mentionnée et le code de vérification qu’il contient nous est à présent demandé.

Certificat d’identification privé

Le site vous invite alors à choisir un niveau de sécurité pour ce certificat et cliquer sur “Continuer”
L’écran suivant vous invite à installer ce certificat dans votre navigateur en cliquant sur “Installer”, c’est ce qui vous permettra de vous authentifier à l’avenir sur le site pour pouvoir gérer vos domaines et certificats associés.

Votre navigateur vous informe que l’opération à été menée à bien et la page suivante vous informe qu’il est important de sauvegarder cette clé, pour le cas ou vous devez changer d’ordinateur ou de navigateur par exemple … sans cette clé, plus d’accès à votre compte StartSSL !

Read more

Valider son courriel et son domaine

A présent, vous devez valider une adresse courriel ou un domaine avant de pouvoir générer des certificats respectivement de type S/MIME ou SSL/TLS pour ce faire aller dans l’onglet intitulé “Validations Wizard” et sélectionnez l’objet approprié dans le menu déroulant, la procédure est du même genre que précédemment :

  • introduire courriel ou domaine
  • “suivant”
  • récupérer le code envoyé par mail et l’injecter dans le formulaire

Une fois cette(ces) étape(s) accomplies, on peut créer son premier certificat de domaine

Créer son premier certificat

Pour cela on se rend dans l’onglet “Certificates Wizard” et choisir par exemple “Web Server SSL/TLS Certificate” et cliquez sur “Continue”

A ce stade, soit vous voulez générer une clé privée pour le serveur sur lequel vous souhaitez un certificat et vous produirez également un certificate server request (CSR)

alors, sous linux, réalisez cette Read more

Soit ce n’est pas le cas et nous allons créer ce qu’il faut au travers de l’interface web de StartSSL.
Il faut alors choisir un mot de passe (à introduire 2x pour vérification)
ainsi que la taille de la clé (2048 ou 4096) et l’algorithme de hashage (SHA1 ou 2). Les paramètres proposés par défaut sont bien suffisants mais vous pouvez en changer si vous n’utilisez pas le certificat sur un windows XP ou 2003 car il serait incapable de gérer des valeurs plus élevées que celles par défaut.

Nous arrivons sur une page ou à été généré une clé privé et nous devons copier/coller le contenu du cadre, en ce compris les balises de début “—–BEGIN RSA PRIVATE KEY—–” et de fin “—–END RSA PRIVATE KEY—–”.
Vous devez ensuite ouvrir un éditeur de texte sur le serveur, coller le contenu et sauvegarder le fichier :

En utilisant la commande suivante et en fournissant le mot de passe, nous allons créé une second clé déprotégée

Passer à la page suivante ou vous choisissez le domaine pour lequel vous souhaitez générer le certificat et ensuite indiquer le nom d’hôte relatif à ce domaine. Le certificat sera valide pour hôte.domaine.tld et domaine.tld.

Parfois immédiatement, parfois en différé (via notification par courriel) vous serez informez que le certificat est prêt.
Si c’est immédiat, vous aurez à nouveau une fenêtre pour réaliser un “copier” (comme pour la clé privé) et vous collez le contenu, balises de début et de fin incluses, dans un fichier texte.

Récupérer le root CA et les intermédiaires

Dans le portail de la PKI, le premier onglet à côté des “wizards” est la boîte à outil (Toolbox)
l’un des items est “StartCom CA Certificates”, il mène à une liste de liens permettant de récupérer les éléments de la chaine de certification.

Il est alors possible de copier les adresses de ces certificats et les télécharger par exemple à l’aide de la commande wget exécutée depuis le répertoire de stockage définitif

Dabord le root CA:

Puis l’intermédiaire pour les certificats de classe 1

Ou celui validant les certificats de classe 2

Exemple d’utilisation de ces éléments

configuration web dans Apache

configuration xmpp dans eJabberd