Page d'accueil » Hébergement » Guide du débutant pour les certificats SSL de sites Web

    Guide du débutant pour les certificats SSL de sites Web

    Lors de la création d'une application Web qui traite des données personnelles, la sécurité est la première priorité. Cela est vrai non seulement pour les magasins en ligne et les paniers d'achat, mais également pour les réseaux sociaux populaires tels que Twitter et Foursquare. SSL est un protocole sécurisé très semblable au HTTP dans la mesure où il peut recevoir et transférer des données sur Internet.

    Tout le concept est certes un peu compliqué mais pas si difficile à comprendre. Si vous êtes un webmaster ou si vous êtes juste intéressé par les certificats SSL, ce guide devrait vous convenir parfaitement. J'ai rassemblé cet ensemble de termes les plus confus à présenter pour les débutants. Passez du temps à naviguer ici et à lire d’autres articles externes sur le sujet. La sécurité est essentielle au succès de tout site Web et SSL n’est qu’un tremplin dans l’ensemble..

    Qu'est ce que le SSL??

    Le protocole SSL signifie Couches de prise sécurisées et a été développé à l'origine par Netscape. C’est un processus dans lequel les données transmises entre l’utilisateur et le serveur sont cryptées / déchiffrées afin qu’aucune tierce partie externe ne puisse détourner la connexion..

    SSL se comporte comme un passeport numérique qui vérifie les informations d'identification de vous-même et du serveur Web final. Lorsque les deux identités sont vérifiées, SSL établit une connexion sécurisée via HTTPS. Ce processus est effectué en utilisant certificats. J'ai décomposé les principaux aspects d'un certificat SSL, notamment:

    • Le nom du propriétaire
    • Numéro de série du certificat utilisé pour l'identification
    • La date d'expiration du certificat
    • La clé publique du certificat utilisée pour chiffrer les informations
    • La clé privée du certificat utilisée pour décrypter des informations (provenant généralement d'un serveur Web)

    Vous n'avez pas besoin de bien comprendre l'utilisation de toutes ces informations. Dans certains cas, vous recevrez un certificat avec encore plus d'informations. Pourtant, rien n’affectera directement l’utilisateur; cela n'affecte que la connexion entre le serveur et l'ordinateur distant.

    Mise en place d'un certificat

    Vous pouvez probablement comprendre l'essentiel du fonctionnement de SSL. Il s'agit d'une forme plus complexe de transmission de données, telle que le transfert d'un message à l'intérieur d'un coffre-fort verrouillé. Il n'est pas nécessaire de mémoriser les éléments clés d'un certificat SSL ou d'apprendre comment il se connecte à un serveur Web, mais il est bon de comprendre au moins les bases du processus avant de configurer votre propre serveur..

    Les certificats SSL sont en réalité achetés auprès d’un certain nombre de fournisseurs fiables sur le Web. Chaque certificat a une date d'expiration, ce qui signifie que vous devrez le renouveler pour que votre site Web reste sécurisé (généralement chaque année). Cela semble être un vrai problème, mais heureusement, de nombreux hébergeurs populaires tels que FatCow vous aideront dans le processus de configuration..

    Vous devez d’abord générer une demande de signature de certificat ou de signature de certificat sur votre propre serveur Web. Le CSR est nécessaire avant que vous puissiez obtenir un certificat SSL. Il est possible de le créer vous-même si vous disposez de tous les privilèges d'administration sur le serveur Web. Cependant, il est fortement recommandé de contacter votre hébergeur au préalable car il ne vous permettra probablement pas de le faire vous-même. Pas de mal à cela, en fait, cela facilite vraiment votre travail!

    Une fois que vous avez cette CSR chiffrée, vous pouvez contacter un fournisseur de certificats. Il existe juste une poignée de fournisseurs de confiance tels que Verisign ou Thawte. Une fois le certificat acheté, il vous suffit de contacter le support de votre hébergeur et celui-ci l'installera avec plaisir..

    Différents types de SSL

    Le moyen le plus courant de configurer un certificat SSL consiste à utiliser votre propre adresse IP principale. Ceci est connu comme un Certificat SSL dédié. Cela s'appliquera uniquement à votre domaine et à votre serveur Web. Tout le monde n'a pas assez d'argent pour acheter un plan d'hébergement dédié, mais heureusement pour nous tous, d'autres solutions sont disponibles..

    En règle générale, vous pouvez utiliser trois types de certificats SSL différents. Certains fournisseurs de services peuvent proposer un certificat gratuit à titre d'essai à durée limitée, mais ces certificats ne sont en aucun cas plus sécuritaires qu'une connexion HTTP standard et expirent rapidement..

    • SSL dédié - C'est la solution la plus sûre et évidemment la plus chère. Une connexion HTTPS n'est vérifiée que pour votre domaine racine ciblé via une adresse IP désignée..
    • SSL partagé - Les hôtes Web offrant un hébergement partagé auront parfois plusieurs noms de domaine pointant vers la même adresse IP. Dans ce cas, il est beaucoup plus facile pour l'hôte de gérer un seul SSL sur chaque serveur, couvrant ainsi un éventail de sites Web..
    • Wildcard SSL - Ceux-ci peuvent être similaires à un certificat SSL dédié ou partagé basé sur la configuration du serveur. Les certificats SSL Wildcard ciblent plusieurs sous-domaines pour votre site Web. C’est une solution viable si vous séparez différentes fonctions de votre site Web, par exemple. shop.domain.com, checkout.domain.com, etc..

    Si vous commencez à peine, je vous recommande vivement d'utiliser une configuration SSL partagée. Il est peu probable que vous puissiez vous permettre immédiatement un hôte Web / adresse IP dédié. Et même si vous le pouvez, les coûts d'un certificat SSL dédié sont atroces. Mais c'est absolument quelque chose que vous devriez examiner si possible.

    Cependant, comme ce guide est destiné aux débutants, je pense qu’un certificat partagé est plus que suffisant pour bien démarrer..

    Procédure pas à pas

    La meilleure façon de se sentir à l'aise avec les certificats SSL est d'utiliser des exemples concrets. Mettons ensemble un petit certificat Comodo de Namecheap. Ils ont des prix très raisonnables, ce qui est parfait pour commencer les débutants. Et puisque nous n’avons besoin que de passer par le processus et les grandes lignes, ce sera un support parfait pour ce tutoriel..

    Générer un CSR

    Maintenant, pour commencer, nous devons créer la demande de signature sur le serveur de notre serveur. J'utilise un compte d'hébergement d'entreprise via HostGator pour tester l'un de mes domaines. Chaque hébergeur est un peu différent, vous devrez donc contacter le support technique si vous rencontrez des problèmes. Cette URL est utilisée pour une génération de CSR sur des comptes HostGator..

    Notez que la plupart de ces informations doivent être associées aux données Web Whois de mon domaine. J'utilise l'application Outils de domaine Whois, qui fournit toutes les informations requises par ce formulaire. Si vous avez installé la confidentialité de domaine, vous devez utiliser ces données au lieu des vôtres pour que le CSR corresponde..

    Ce processus peut prendre jusqu'à 24 heures pour compléter l'enregistrement. J'ai eu ma réponse dans les 15 minutes. Passons maintenant à l'achat de notre certificat afin qu'il soit prêt à être installé avec la demande de signature..

    Achetons!

    Les forfaits Comodo vont de 9 $ / an à près de 100 $. Je regarde le paquet EssentialSSL qui ne coûte que 25 $ par an. Ce n'est pas une mauvaise affaire compte tenu de certaines des alternatives.

    Ce plan est assorti d'une politique de retour de 15 jours si nous ne sommes pas satisfaits du certificat. De plus, notre nom de domaine sera sécurisé pour le sous-domaine www et non-www. Après avoir ajouté ce paquet à mon panier, nous pouvons vérifier. Namecheap exigera que je me connecte à un compte existant ou que je crée un nouveau compte.

    Après avoir saisi toutes les données de mon compte, l'écran de paiement final apparaîtra. Nous avons la possibilité de payer avec les fonds stockés sur mon compte, ma carte de crédit ou PayPal. Si tout se passe correctement, nous sommes redirigés vers un formulaire de confirmation de commande (vous devriez en outre recevoir un courrier électronique contenant ces informations). Tout semble bon jusqu'à présent!

    Installation finale

    Le CSR doit apparaître dans un courrier électronique de votre hébergeur. La clé ressemble plus à un bloc de caractères et de clés enchevêtrés. C’est ce que nous devons prévoir pour la vérification SSL. Pour revenir à Namecheap, retrouvons la page du certificat SSL et cliquez sur “Activer”.

    Sur cette nouvelle page, nous devons sélectionner un type de serveur et saisir la clé CSR. J'ai choisi Apache + OpenSSL comme sélection par défaut. C'est une configuration courante pour Apache, mais si vous n'êtes pas sûr, vérifiez simplement auprès de votre hôte au préalable. Notez que votre hébergeur aurait dû revenir plus longtemps Clé RSA qui est utilisé pour l'authentification privée du côté du serveur. Tout ce que nous avons à faire est de copier-coller la clé CSR la plus courte dans la boîte et de la soumettre..

    Nous générons ensuite un e-mail envoyé au “approbateur” du nom de domaine. Cela contiendra des informations sur votre certificat SSL et sur la façon de l'activer sur l'hôte. Ce dernier formulaire de soumission nécessitera notre clé secrète RSA ainsi que des informations supplémentaires sur le paquet SSL. Tout cela est fourni par Namecheap après que nous passions dans le CSR.

    Il est à noter que sur certains hôtes Web, il est possible que vous ne puissiez pas utiliser SSL dans un environnement partagé. HostGator permet aux entreprises de mettre à niveau leurs comptes vers une adresse IP principale afin d'éviter toute erreur conflictuelle avec le certificat. Le formulaire d'installation SSL de HostGator est simple et valide également très rapidement.

    Une fois que votre hôte a confirmé que tout va bien, nous devrions être prêts à partir. Comprenez que cela peut prendre entre quelques heures et un jour ou plus. Soyez patient et continuez à vérifier votre courrier électronique. Une fois vérifié, essayez d'accéder à votre site Web via HTTPS et tous les détails du certificat devraient figurer dans la barre d'adresse. C'est toujours une lutte lorsque vous débutez, mais n'hésitez pas à demander l'aide de votre fournisseur SSL ou de votre hébergeur si nécessaire.

    Gérer une connexion sécurisée

    J'ai trouvé cet article de support Hostgator extrêmement utile pour comprendre le processus d'installation. Même si vous n'êtes pas un client de HostGator, vous utiliserez probablement cPanel pour gérer tout serveur Web distant. Ceci est vrai pour 1 & 1 Hosting, Bluehost, etc..

    Mais la meilleure partie de l’utilisation d’une configuration SSL sur un hôte Web tiers est que vous n’avez pas besoin d’apporter des modifications (ou des modifications minimes) à votre code! Une fois que vous aurez acheté un certificat, la plupart des hébergeurs seront suffisamment courtois pour les installer à votre place. Une fois que tout fonctionne correctement, toutes les connexions via HTTP et HTTPS doivent fonctionner de manière identique..

    Vous pouvez tester si le certificat est authentifié en vérifiant la barre d'adresse URL de votre navigateur Web. Vous devriez remarquer une petite icône de cadenas indiquant une connexion SSL vérifiée entre votre ordinateur et le serveur Web distant. Certains navigateurs afficheront même plus d'informations sur les certificats si vous cliquez sur l'icône de cadenas..

    Apache .htaccess Redirections

    Si vous rencontrez des difficultés pour garder les visiteurs sur le protocole HTTPS, vous pouvez envisager d'utiliser un script de redirection. Ceci est généralement configuré sur les serveurs Apache à l'aide d'un fichier .htaccess, que de nombreux hébergeurs vous permettent de configurer directement dans cPanel.

    J'ai ajouté quelques exemples de codes ci-dessous que vous pouvez utiliser pour configurer votre propre fichier .htaccess. Cela redirigera tout le trafic entrant sur https: // avec un sous-domaine www. Vous pouvez supprimer le www pour que tout le trafic soit plutôt dirigé vers https://votredomaine.com/ et les règles de réécriture fonctionneraient toujours parfaitement.

    RewriteEngine On RewriteCond% HTTPS = off RewriteRule ^ (. *) $ Https://www.votredomaine.com/$1 [R = 301, L] RewriteCond% http_host ^ votredomaine.com [NC] RewriteRule ^ (. *) $ https://www.votredomaine.com/$1 [R = 301, L] 

    Référence aux fichiers

    Le problème le plus ennuyeux que vous rencontrez est celui de référencer des URL absolues au lieu de chemins de fichiers relatifs. Cette volonté ne pas afficher une connexion complètement sécurisée, en se référant à l'avertissement qu'il existe des “articles non garantis” étant affiché sur la page. Si vous appelez n’importe quel type de média externe: vidéo, image, feuille de style, cela doit être fait localement. J'ai démontré un exemple ci-dessous:

        

    Avec le premier bit de code, vous chargez un document potentiellement non sécurisé sur une page sécurisée. C’est la méthode même par laquelle les pirates intelligents peuvent contourner votre cryptage. Dans la majorité des cas, j’ai eu à analyser JavaScript ou VBScript. Mais pour plus de sécurité, assurez-vous qu'aucun de vos actifs ne tire directement sur HTTP..

    Si, pour une raison quelconque, vous devez extraire un fichier via l'URL absolue, utilisez plutôt HTTPS. Si vous avez des fichiers hébergés sur un site Web ou un serveur externe, cela peut entraîner des problèmes, car vous ne pouvez pas vérifier une autre connexion HTTPS. Veillez à ce que tous les médias de page Web restent regroupés sous une adresse IP afin de ne pas rencontrer ces problèmes du tout.!

    Liens connexes

    • Expliquez comme si j'avais 5 ans: Que sont les certificats de sécurité en ligne, SSL, HTTPS et comment fonctionnent-ils??
    • L'évolution de l'authenticité SSL [infographie]
    • Génération et installation de certificats SSL pas à pas

    Conclusion

    J'espère que ce guide d'introduction vous a donné un aperçu du monde de SSL. La sécurité Web est une industrie en plein essor qui sécurise de nombreuses données d'utilisateurs privés. Toutes les boutiques en ligne célèbres, y compris Amazon et eBay, utilisent SSL depuis des années..

    J'admets que SSL / HTTPS n'est pas un sujet que vous pouvez simplement étudier pour comprendre. Semblable à la programmation, vous devez vraiment plonger dedans et vous salir les mains pour créer votre propre certificat. C’est une tâche décourageante à entreprendre, mais elle offre un merveilleux sentiment de réussite à long terme. Si vous connaissez d’autres guides utiles ou des documents connexes, n'hésitez pas à les partager dans la zone de discussion.