Sécuriser son site Web avec SSL et configurer un accès HTTPS gratuit

Sécuriser son site avec SSL

Vous pouvez avoir besoin de crypter des données entre le navigateur et le serveur Web. SSL est fait pour sécuriser son site, c’est-à-dire pour transformer l’HTTP classique en HTTPS.

Une solution simple est de générer soi-même un certificat pour qu’il soit communiqué au moment de la connexion. Mais les navigateurs vont indiquer que celui-ci n’est pas sûr parce qu’aucun organisme certificateur ne le valide.

La plupart du temps, ce genre de service est onéreux, même très onéreux. Mais c’est sans compter sur le service StartSSL.

StartSSL ?

StartSSL est un service de la société StartCom, spécialisée dans la sécurité (token USB, StartCom Linux, …), notamment dans le SSL, les certificats délivrés sont reconnus par tous les principaux navigateurs.

Un inconvénient du service gratuit de StartSSL est que le certificat n’est valide que pour un sous-domaine. Si vous voulez utiliser SSL sur www.monsite.fr et web.monsite.fr, il faudra déclarer et configurer deux certificats différents. Avec peu de certificats à installer, ce n’est pas un problème, l’opération peut devenir fastidieuse dans le cas contraire. D’autant que le certificat est valide un an et doit être renouvelée à l’échéance de cette période.

Le service gratuit est gratuit pour le cryptage 128/256 bits, suffisant pour les services Web, un espace client, le transfert de fichiers, ou même la protection de l’interface d’administration de votre blog.
Pour les transferts financiers, il vaut mieux utiliser un cryptage plus fort. Le plus souvent, pour permettre le paiement en ligne sur votre site par exemple, c’est votre banque qui se charge de la sécurité.

Inscription

Rendez vous sur le site de StartSSL, cliquez sur Control Panel puis sur Sign up.

La page de connexion de StartSSL pour créer un accès HTTPS gratuit
La page de connexion
Renseignez les informations et suivez les instructions pour valider votre compte.

Le formulaire d'inscription à StartSSL
Le formulaire d’inscription

Validation d’un nom de domaine

La première chose à faire est de valider le nom de domaine, c’est-à-dire prouver que vous en êtes bien le titulaire.

En clair, vous devez dire que ‘monsite.fr’ vous appartient pour pouvoir sécuriser ‘www.monsite.fr’ et tous les autres sous-domaines que vous souhaitez protéger.

Pour cela, cliquez sur Validations Wizard et sélectionnez Domain Name Validation.

Renseignez le nom de domaine dans la zone de texte et son extension dans la liste déroulante.

SSL gratuit - validation du domaine pour sécuriser son site
Choix du domaine à protéger
StartSSL va ensuite vous demander une adresse mail administrative valide, pour vous envoyer la demande de validation de la propriété de nom de domaine.

Si aucune des adresses proposées n’existe, vous devrez créer l’une d’elles. Sinon, choisissez en une valide, et cliquez sur Continue.

SSL gratuit - choix de l'adresse mail pour la validation
L’adresse mail pour la validation
Sur la page suivante, vous devez simplement recopier le code qui vous a été envoyé par mail.

Vous êtes maintenant considéré comme l’heureux propriétaire de votre domaine pendant trente jours, durée pendant laquelle vous pouvez sécuriser tous les sous-domaines que vous souhaitez. Une fois cette période passée, vous devrez renouveler cette étape.

Création du certificat

Création des clefs

Je vous conseille de créer un nouveau dossier sur votre ordinateur, du nom du sous-domaine à protéger (par exemple www.monsite.fr), qui va contenir toutes les informations qui vont suivre.
Ces informations devront être conservées en lieu sûr, elles sont extrêmement sensibles.

Maintenant, dans Certificates Wizard, sélectionnez  Web server SSL/TLS Certificate avant de continuer.

Pour la suite, un mot de passe de 32 caractères est nécessaire. Vous pourriez le générer manuellement, mais vous pouvez utiliser un générateur (celui-là par exemple), qui permet de vous en procurer un automatiquement.

SSL gratuit - un générateur de mot de passe
Générateur de mot de passe
Conservez ce mot de passe, dans un nouveau fichier key_password.txt, il pourra être utile pour la suite.

Copiez le mot de passe dans les champ appropriés et validez.

SSL gratuit - création de la clef privée
Création de la clef privée
La clef privée est générée dans la zone de texte. Copiez-la dans un nouveau fichier, nommé ssl.key. Attention, ce fichier ne doit contenir aucun caractère ni avant ni après la clef privée, même des sauts de ligne. Il ne doit contenir que la clef.

Ensuite, sélectionnez le domaine validé précédemment puis saisissez le sous-domaine, par exemple www.

Encore une fois, copier et coller la clef dans un fichier, nommé cette fois ssl.crt.

Enfin, cliquez sur Finish.

Clef privée décryptée

Pour configurer votre serveur Web et installer le certificat, vous aurez besoin de la version non cryptée de la clef privée. Il est possible de la décrypter en passant par le mode console. Si vous n’y avez pas accès, StartSSL propose un outil permettant d’accomplir cette tâche.

Pour cela, dans Tool Box, cliquez sur Decrypt private key, puis copiez le contenu du fichier ssl.key enregistré préalablement, ainsi que le mot de passe que vous avez sauvegardé dans key_password.txt.

Un outil fourni par StartSSL pour décrypter une clef privée
Décryption de la clef privée

Enregistrez le résultat dans un nouveau fichier not_crypted.key.

Vous êtes maintenant en possession de tout le matériel nécessaire pour sécuriser les transferts. Il ne reste plus qu’à les installer.

Certificat CA

Pour que le certificat soit bien reconnu par tous les navigateurs, y compris Chrome sur Android, il est nécessaire de récupérer le certificat de StartSSL qui approuve le vôtre.

Ainsi, toujours dans Tool Box, cliquez sur StartCom CA certificates, puis téléchargez Server Certificate Bundle with CRLs en tant que ca-bundle.pem.

Le cas de Plesk

En guise d’application, je vous propose de voir comment installer le certificat sur Plesk. Il est possible d’adapter ces étapes aux autres managers de serveur actuels.

Dans le panneau de contrôle du domaine, sur la page des sites Web et des domaines, cliquez sur Sécuriser vos sites.

Cliquez sur ‘Ajouter un certificat SSL’ (même en cas de mise à jour) et renseignez ces champs :

  • Nom : pour faciliter la mise à jour l’année suivante, indiquez le nom du sous-domaine et l’année en cours, par exemple : monsite2013
  • Clef privée : copiez ici le contenu de not_crypted.key
  • Certificat : copiez ici le contenu de ssl.crt
  • Certificat CA : copiez ici le contenu de ca-bundle.pem

Activez ensuite le certificat, en allant dans le sous-domaine par la page des sites Web et domaines, dans Paramètres d’hébergement : cochez ‘Activer la prise en charge SSL’ et sélectionnez le certificat.
Vous pouvez supprimer le certificat de l’année précédente en cas de mise à jour.

Un mot sur le mode d’authentification de StartSSL

Pour vous reconnecter à l’interface de StartSSL, il suffit de cliquer sur le bouton Authenticate du Control Panel. A ce moment là, le certificat installé sur votre navigateur est utilisé pour vous authentifier.

Ceci implique deux choses :

  • Si vous changez d’ordinateur ou de navigateur, vous n’aurez plus accès au certificat. Vous devez donc sauvegarder le certificat de votre navigateur, encore une fois en lieu sûr. Pour le sauvegarder, avec Firefox par exemple, tout se passe dans les Options/Avancé/Chiffrement/Afficher les certificats, sélectionnez le certificat dans ‘Mes certificats’ puis cliquez sur le bouton Exporter.
  • Le certificat est valable un an. Par conséquent, un peu avant la date anniversaire de la création de votre compte StartSSL, vous devez valider de nouveau votre compte, de manière à pouvoir continuer à gérer vos certificats. Voilà comment faire, dans le control panel de StartSSL :

Dans Validations wizard, sélectionnez ‘Email address validation’ et suivez les instructions.
Une fois le mail de validation reçu, retournez dans le control panel, dans Certificates wizard, sélectionnez ‘S/MIME and authentication wizard’ et suivez les instructions. Une fois cette étape terminée, la clef est installée automatiquement dans le navigateur. C’est à ce moment là que vous devez sauvegarder la clef.

Le mot de la fin

StartSSL est un moyen efficace pour se procurer un certificat SSL reconnu par tous les navigateurs récents, et ainsi sécuriser son site Web avec un HTTPS gratuitement.

Il n’est pas compliqué, mais demande quelques notions si on s’aventure sans mode d’emploi.

Aussi, le renouvellement par sous-domaine peut s’avérer fastidieux s’ils sont nombreux. Dans ce cas, la formule à 59,90$ par an, qui fait sauter cette limitation, peut être un bon investissement.

Et pour finir, un peu de teasing : après cette article généraliste sur la création et l’installation d’un certificat SSL reconnu et gratuit, nous verrons dans le prochain article comment protéger l’interface d’administration de votre blog WordPress.

Cet article vous a été utile ? Partage it !

21 réflexions au sujet de « Sécuriser son site Web avec SSL et configurer un accès HTTPS gratuit »

  1. Merci pour ce très bon tutoriel, tout a marcher nikel seul inconvénient :
    Quand j’ai installé le certificat et activer la securité SSL pour toutes les pages de mon site ainsi que le panneau d’administration j’ai eu droit à une petite surprise de firefox, certains plugin ne fonctionnent plus , comme la barre flottante des réseaux sociaux entre autre j’ignore d’ailleurs la raison, du coup je dois à chaque fois désactiver le blocage pour l’afficher ce n’est pas très gênant pour moi mais les visiteurs eux ça les fait royalement chié 🙁 , sur certains le flash player est activer par défaut sans une demande d’activation alors si vous pouviez m’aider ça serai sympathique de votre part !

    Sur ce je vous souhaite une bonne journée ! et merci d’avance
    Cordialement.

    1. Bonjour Fouladh,
      Ce problème est dû aux extensions qui utilisent une adresse HTTP en dur dans leur code pour référencer des pages de l’interface d’administration de WordPress, plutôt que l’adresse HTTPS quand l’option est activée.
      Si les plugins sont assez récents, tu peux te tourner vers leur support.
      Si les extensions ne sont plus maintenues depuis longtemps, je te conseille l’article que j’avais écrit et qui traite de ce problème :
      http://www.partage-it.com/rendre-les-extensions-wordpress-peu-anciennes-compatibles-les-derniers-firefox/
      David

  2. Tout d’abord merci beaucoup pour votre réponse, qui m’a bien aider j’ai effectivement réussi à bidouiller un peu tout ce bordel grâce au lien que tu as mis dans ton commentaire 🙂

    Il me reste juste un tout petit problème, quand je lis la console d’erreurs le message suivant apparait, Chargement de contenu mixte non actif (non sécurisé) sur une page sécurisée.
    le contenu en question sont différentes images postées sur mon site, curieusement ils ont tous la même extension à savoir « .png » !
    J’aimerai bien que vous m’aidiez encore une fois à résoudre cela si ce n’est pas trop demander ^^ 🙂
    Bonne soirée à vous !
    Merci d’avance, Cordialement.

    1. Bonsoir Fouladh,
      Si j’ai bien compris, le site fonctionne, mais il reste des logs d’erreur dans la console à propos d’images.
      Ces images s’affichent bien ?
      Dans les articles, l’adresse des images est définie complétement avec le protocole utilisé hors de l’interface d’administration.
      J’imagine que tu as écrit les articles et les pages avant de passer le site en HTTPS.
      Alors si les images s’affichent bien, tu peux laisser en l’état.
      Si elles ne s’affichent pas, il faut certainement modifier les pages et les articles qui les contiennent.
      David

      1. Petite astuce, toujours déclarer les URL sans le protocole :
        <img src= »//mondomaine.com/monfichier.ext »>
        Au lieu de :
        <img src= »http//mondomaine.com/monfichier.ext »>

        1. Bonjour Bazajet,
          Merci pour l’astuce 🙂
          (et je vérifie pourquoi le code HTML n’est pas traduit en code affichable)
          David

  3. Merci beaucoup, tuto très utile.

    Par contre, je bloque sur l’installation : est-ce que vous sauriez comment installer le certif et la clé StartSSL sur Webmin (CentOS Linux 6.5) ?

    Merci d’avance,

    1. Bonjour SBA,
      Voulez-vous certifier un site Web géré depuis Webmin ou certifier l’accès à Webmin lui-même ?
      David

  4. Merci pour votre tuto avec les récentes modifications de Google pour le référencement c’est fort pratique. StartSSL semble être submergé ^^
    PS : j’ai détaillé une procédure complète sur mon blog pour PLESK si jamais :
    (note de David : l’adresse était erronée)

    1. Bonjour jeuxaforum,
      En effet, StartSSL doit remercier Google 😉
      L’adresse ne fonctionnait pas, je l’ai retirée pour éviter les erreurs. Si vous repassez par là, n’hésitez pas.
      David

  5. je n’arrive pas a me logger sur mon control panel de leur site.
    Le site semble louche et pas très fiable , voir obsolète!!.
    j’ai ce message erreur.

    Échec de la connexion sécurisée
    https://auth.startssl.com/

    Une erreur est survenue pendant une connexion à auth.startssl.com. Le pair SSL n’a pas réussi à négocier un jeu de paramètres de sécurité acceptable. (Code d’erreur : ssl_error_handshake_failure_alert)

    La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.

    1. Bonjour Jonny,

      C’est vrai que le site fait un peu vieillot…
      Tu as bien sauvegardé le certificat qui a été généré, comme c’était indiqué quand tu t’es inscrit, et tu l’as bien installé dans ton navigateur ?

      David

  6. Je bute au niveau de l’outil decryptage,
    Error Decrypting Key
    An error occurred decrypting your private key. Verify the data and try it again.

    Comment faut-il coller la clé et le mot de passe ? (L’un à la suite de l’autre, ou séparé d’une ligne ?) Et que faut-il mettre dans la case passphrase ?

    1. Bonjour Rodrigue,
      J’imagine que c’est parce que tu n’as pas renseigné la ‘case passphrase’.
      Donc pour résumer :
      – la première zone de texte est la clef SSL, que tu as copié dans ssl.key si tu as suivi le tutoriel
      – la deuxième, passphrase donc, c’est pour le mot de passe que tu as généré au début, et copié dans key_password.txt.
      David

  7. Petite précisions sur le Tuto

    Les interfaces de StartSSL ont changés par rapport au tuto.

    Et impossible de trouver depuis « StartCom CA certificates> Server Certificate Bundle en tant que « ca-bundle.pem »

    Par contre génial d’avoir penser la mise en oeuvre depuis le PLesk .-)

    Dominique

    1. Bonjour Dominique,
      En effet, l’interface a changé. En même temps j’utilise Let’s Encrypt depuis quelques temps et je ferai certainement bientôt un tuto sur ce service, y compris comment le configurer avec Plesk.
      David

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Si vous le souhaitez, renseignez le champ 'Nom' de cette façon : 'VotreNom@VotreMotClef' pour obtenir une ancre optimisée pour les moteurs de recherche.