Vous naviguez quotidiennement sur Internet, mais savez-vous r\u00e9ellement comment vos donn\u00e9es sont s\u00e9curis\u00e9es lors de vos interactions avec les sites web ? C’est l\u00e0 que le chiffrement SSL entre en jeu. Dans cet article, nous allons plonger dans les myst\u00e8res du chiffrement SSL et d\u00e9couvrir comment il prot\u00e8ge vos informations sensibles en ligne.<\/p>\n\n\n\n
Nous verrons \u00e0 la fin comment mettre en place le SSL avec let’sEncrypt sur un site web Apache2. <\/p>\n\n\n\n
Un prochain article d\u00e9criera la m\u00e9thode pour un reverse proxy Nginx. <\/p>\n\n\n\n
SSL, pour Secure Sockets Layer, est un protocole de s\u00e9curit\u00e9 qui permet d’\u00e9tablir une connexion s\u00e9curis\u00e9e entre un navigateur et un serveur web. Son successeur, le TLS (Transport Layer Security), est aujourd’hui plus couramment utilis\u00e9, mais le terme SSL est encore largement utilis\u00e9 pour d\u00e9signer le chiffrement des connexions HTTPS.<\/p>\n\n\n\n
Le chiffrement SSL est essentiel pour pr\u00e9venir l’interception et la manipulation de donn\u00e9es confidentielles, telles que les mots de passe, les informations de paiement ou les messages priv\u00e9s. Il cr\u00e9e une \u00ab\u00a0tunnel s\u00e9curis\u00e9\u00a0\u00bb entre le navigateur de l’utilisateur et le serveur web, rendant les donn\u00e9es illisibles pour les personnes malveillantes qui pourraient tenter de les intercepter.<\/p>\n\n\n\n
Le chiffrement SSL repose sur un processus en plusieurs \u00e9tapes. Tout d’abord, le navigateur et le serveur web entament une \u00ab\u00a0poign\u00e9e de main\u00a0\u00bb pour n\u00e9gocier les param\u00e8tres de chiffrement et \u00e9tablir une cl\u00e9 de session commune. Cette cl\u00e9 de session est utilis\u00e9e pour chiffrer et d\u00e9chiffrer les donn\u00e9es \u00e9chang\u00e9es entre les deux parties.<\/p>\n\n\n\n
Une fois que la cl\u00e9 de session est \u00e9tablie, le navigateur et le serveur utilisent des algorithmes de chiffrement pour chiffrer les donn\u00e9es. Les donn\u00e9es chiffr\u00e9es sont ensuite envoy\u00e9es via Internet, o\u00f9 elles ne peuvent \u00eatre lues que par le navigateur et le serveur qui poss\u00e8dent la cl\u00e9 de session correspondante.<\/p>\n\n\n\n
Lorsque vous visitez un site web s\u00e9curis\u00e9, vous avez peut-\u00eatre remarqu\u00e9 un petit cadenas vert \u00e0 c\u00f4t\u00e9 de l’URL, ainsi qu’un \u00ab\u00a0https\u00a0\u00bb au lieu de \u00ab\u00a0http\u00a0\u00bb. Cela indique que le site utilise un certificat SSL valide.<\/p>\n\n\n\n
Il existe deux types de certificats SSL : les certificats auto-sign\u00e9s et les certificats \u00e9mis par une autorit\u00e9 de certification (CA). Les certificats auto-sign\u00e9s sont g\u00e9n\u00e9r\u00e9s par les propri\u00e9taires de sites web eux-m\u00eames, tandis que les certificats \u00e9mis par une CA sont d\u00e9livr\u00e9s par des entit\u00e9s de confiance reconnues.<\/p>\n\n\n\n
Les certificats \u00e9mis par une CA offrent un niveau de confiance suppl\u00e9mentaire, car ils sont v\u00e9rifi\u00e9s et sign\u00e9s par une tierce partie ind\u00e9pendante. Cela garantit que le site web est authentique et que les donn\u00e9es \u00e9chang\u00e9es sont s\u00e9curis\u00e9es. Les navigateurs web font confiance aux autorit\u00e9s de certification et signalent les probl\u00e8mes potentiels si un certificat n’est pas valide ou a expir\u00e9.<\/p>\n\n\n\n
Dans la prochaine partie de cet article, nous allons aborder les aspects pratiques de la configuration du chiffrement SSL sur un serveur web. <\/p>\n\n\n\n
Pr\u00e9-requis <\/strong><\/p>\n\n\n\n Veillez \u00e0 bien configurer vous vhost dans \/etc\/apache2\/sites-available\/<\/p>\n\n\n\n Vous devez avoir un virtualhost sur le port 80 avec le nom du site pr\u00e9d\u00e9finit. Par la suite, nous utiliserons le nom du site pour placer automatiquement le certificat dans le vhost. Si ce n’est pas fait automatiquement, il n’y a aucun soucis. Il suffira de r\u00e9cup\u00e9rer le path des certificat et de les d\u00e9clarer dans le vhost. <\/p>\n<\/div>\n\n\n\n Certbot est un outil pratique qui permet d\u2019automatiser la configuration de certificats SSL\/TLS pour des sites internet.\u00a0Il utilise Let\u2019s Encrypt, une autorit\u00e9 de certification gratuite et open-source1<\/sup>. CertBot est un script qui permet de d\u00e9ployer facilement le HTTPS sur votre serveur.\u00a0C\u2019est un client officiel de Let\u2019s Encrypt qui g\u00e9n\u00e8re gratuitement des certificats SSL. Certbot est un outil automatique, compatible avec les serveurs web majeurs (dont Apache et Nginx), ainsi qu\u2019avec les OS Linux les plus courants.\u00a0Il est plac\u00e9 sous l\u2019\u00e9gide de l\u2019EFF (Electronic Frontier Foundation). <\/p>\n\n\n\n Sachant ceci, nous pouvons installer Certbot :<\/p>\n\n\n\n