Accueil > Boîtes à outils > Sécurité et piratage > Certificat SSL

Certificat SSL

Si vous voulez juste acheter un certificat SSL chez Ouvaton, vous trouverez les informations nécessaires sur la page Acquerir-un-certificat-SSL.

Un peu de vocabulaire tout d’abord, pour savoir de quoi on parle :

SSL (Secure Socket Layer) est le nom des connexions sécurisées qui s’établissent parfois entre votre navigateur web et divers sites. Lorsque vous vous connectez à votre panel d’administration par exemple, le serveur d’Ouvaton vous demande de passer en mode sécurisé (crypté) afin que personne ne puisse intercepter vos communications, et notamment vos codes d’accès et mot de passe.

Certificat SSL : lors de l’établissement de toute communication sécurisée, votre navigateur web et le serveur que vous consultez s’échangent leur "carte d’identité". Cette carte d’identité permet au serveur de dire "moi je suis le serveur du domaine ouvadmin.ouvaton.coop". Mais comme tout ce qui est numérique est généralement facilement copiable, modifiable, falsifiable, il se trouve que n’importe qui peut créer n’importe quelle carte d’identité, et se faire passer pour ouvadmin.ouvaton.coop. Cette carte d’identité est donc authentifiée par une signature numérique.
C’est ça le certificat SSL : la signature numérique qui est sur la carte d’identité du serveur d’Ouvaton.

Les Autorités de certification sont des entités reconnues mondialement pour avoir le droit de signer les cartes d’identité électronique, c’est-à-dire, de créer des certificats SSL.

Un business juteux : sans rentrer dans les détails, les autorités de certification font généralement payer une somme d’argent non négligeable pour vous donner un certificat SSL.
Comme ce n’était sans doute pas assez cher, les autorités de certification ont décidé que les signatures se périmaient tous les ans (bah tiens, tant qu’à faire ;-).

Nous avons là un des business les plus juteux de l’Internet. Être autorité de certification coûte cher, mais c’est une manne formidable où vous facturez plusieurs dizaines d’euros / an vos clients pour une petite signature électronique qui ne coûte absolument rien à produire.

Le root certificate d’une autorité de certification est un certificat particulier, qui permet d’authentifier toutes les signatures émises par cette autorité. Tous les navigateurs web (Internet Explorer, FireFox, Safari, Opera, Chrome, Edge) sont livrés avec une poignées de root certificates appartenant aux principales autorités de certification du monde.
Quand le navigateur entre en communication cryptée avec un site web, il regarde la "carte d’identité du site", vérifie qu’elle est valide en regardant la signature qui y est apposée, et vérifie que cette signature elle-même est valide avec le root certificate de l’autorité correspondante.

Et Ouvaton dans tout cela ?

Ouvaton utilise une certificat pour le domaine *.ouvaton.coop, c’est-à-dire que c’est le même certificat qui sécurise www.ouvaton.coop, smtp.ouvaton.coop, ftp.ouvaton.coop, etc.

CACert

Pendant quelques années, Ouvaton a utilisé un certificat provenant de CACert, qui est une autorité coopérative qui délivre des certificats SSL... gratuitement.

Comme ça ne coûte rien à produire, CACert offre ce service à qui le désire. La seule différence c’est que, hélas, le root certificate de CACert, n’est PAS livré par défaut avec tous les navigateurs.
Ce qui oblige chaque personne à importer le root certificate de CACert sur son navigateur manuellement, sous peine de voir apparaître un message d’avertissement inquiétant à chaque consltation d’un site utilisant un certificat CACert.

Ce problème nous a finalement fait revenir vers un certificat payant, acheté chez Gandi.net.

Let’s encrypt

Un projet visant à démocratiser plus largement l’utilisation de SSL est actuellement en cours de réalisation. Il associe plusieurs grands noms d’internet, donc la fondation Mozilla et l’EFF, et vide à proposer un certificat gratuit, disponible pour tous, et reconnu par les principaux navigateurs (ce qui manque cruellement à CACert).

Ce projet semble en bonne voie, et devrait arriver à maturité d’ici à la fin de l’année 2015.
Découvrez Let’s encrypt !