Le format https s’est imposé pour les sites Web car il est garant de la confidentialité des échanges et de l’identité du serveur. Il reste cependant complexe voire coûteux à mettre en place, surtout si vous assurez l’hébergement du site.

Tout d’abord il faut rappeler les forces en présence.

 

Les acteurs du certificat

La navigation SSL s’appuie sur un échange tripartite :

Le site Web émet le certificat :

  • Il atteste de l’identité réelle du site au regard de l’adresse qu’il prétend posséder.
  • Ce certificat contient l’adresse du site, une date de validité et les coordonnées d’un organisme garant des informations précédentes.

Évidemment tout cela doit être vérifié, voilà donc comment se déroule le contrôle :

Le client reçoit le certificat :

  • Il valide qu’il correspond bien au site qu’il s’apprête à visiter.
  • Il contrôle que son autorité d’approbation est déjà connue et donc reconnue.

Il va ensuite s’assurer de sa date de validité et éventuellement contrôler auprès de l’autorité que le certificat n’est pas révoqué.

Si l’un de ces contrôles échoue le certificat est considéré comme invalide. Le client va au minimum le signaler à l’utilisateur, et de plus en plus  fréquemment refuser l’accès au site.

Une fois les règles du jeu posées, examinons donc les différentes possibilités pour mettre en place un certificat.

 

Votre site Web est réservé aux utilisateurs de votre domaine AD

Dans ce cas vous disposez d’une autorité de certification privée (le ROOT-CA de votre domaine) qui présente plusieurs avantages :

  • Elle est de facto approuvée par toutes les machines de votre domaine.
  • Elle permet de générer des certificats en quelques secondes et qui seront parfaitement valides pour ces machines

Et deux inconvénients majeurs :

  • Les certificats sont invalides en dehors du domaine ainsi que pour les machines étrangères au domaine, et notamment les mobiles.
  • Les adresses générées sont normalement liées à votre domaine privé, lequel n’a pas de raisons d’être connu en dehors de votre réseau interne (VPN excepté), il sera donc inutilisable pour des machines nomades.

Mais en dehors de ces deux points, c’est une solution tout à fait envisageable pour un intranet, et qui peut être associé à un SSO de domaine.

 

Votre site Web est chez un hébergeur

C’est lui qui vous fournira un certificat basique, dit de nom de domaine. Il garantit uniquement que vous êtes propriétaire du nom de domaine.

Ce type de certificat est simple à mettre en place et son coût minime (une dizaine d’euros par an), voire gratuit pour les certificats de type Let’s Encrypt selon votre hébergeur.

 

Vous voulez publier un site de votre réseau

Il faut tout d’abord permettre l’accès au site depuis l’extérieur. Vous pouvez l’équiper d’un certificat acheté auprès d’un organisme, comptez moins de 100 euros par an , ou bien encore une fois utilisé, un certificat Let’s Encrypt, mais dans ce cas il faudra penser à gérer le renouvellement, soit manuellement mais l’opération sera à renouveler tous les 3 mois, soit automatiquement par les outils fournis par Let’s Encrypt pas forcément triviaux à manipuler.

 

Vous avez un simple domaine mais plusieurs sites

Il faut dans ce cas acquérir un certificat dit « wildcard » qui peut être utilisé sur tous les sites «mondomaine.com». Ce type de certificat a un coût à partir de deux cents euros par an mais plutôt de 500 ou 600 .

Attention les prix varient d’un facteur 10 entre les différentes offres, vérifiez que vous avez besoin des toutes les options qui justifient de telles différences de prix !

En définitive mettre en place des sites SSL n’est pas si complexe et c’est même devenu incontournable.

 

Olivier Piochaud, PDG d’Apsynet

 

Newsletter

Categories: Développement & Web