Connexion sécurisée sur serveur web

[Jarodd]

Salut salut,

Je dispose d'un serveur web (mutu) qui héberge plusieurs sites. Je souhaiterais chiffrer les données transitant vers ce serveur, notamment pour cacher certaines données lorsqu'on se connecte depuis une connexion "surveillée" (boulot notamment).

Je viens de me documenter un peu, la meilleure solution semble être le HTTPS. Seulement, si j'ai bien compris, il faut acheter un certificat pour que le serveur soit identifié comme sûr, ce que je ne peux pas faire. Apparemment avec Cacert ou Startcom c'est possible de l'avoir gratuitement, si on montre patte blanche. Mais je ne connais pas ces sites. Sont-ils sûrs ? Je me demande quel est le service qu'on n'a pas par rapport à un certificat payant.

Précision, il n'y a pas de transaction sur ce serveur, le besoin c'est juste pour protéger les données. Le fait d'avoir un message du navigateur indiquant que le certificat ne provient pas d'une entité connue n'est pas un problème.

Je suis ouvert à tout conseil permettant de le faire.

Merci pour votre aide.

[dudul88]

Tu as la possibilité d'autosigner tes certificats. Dans la plupart des distributions lorsque tu installe apache, ils sont générés automatiquement et il suffit de modifier le httpd.conf.

Edit : un tuto assez clair est disponible ici pour configurer apache et générer les certificats. Au fait, rassure moi tu utilises bien apache ?

[Jarodd]

Merci pour ta réponse.

Je n'ai pas la main sur le httpd.conf, il faut que je demande à l'hébergeur si c'est possible.Je vais me documenter sur l'auto-signature :)

[RaphAstronome]

Sur mutualisé tout dépend de l'hébergeur que ce soit en auto-signé, signé gratuit, signé payant.

Remarque : tu as essayé avec https://www.tonsite.tld/ ? Des fois cela fonctionne sans configuration particulière mais avec un message d'erreur, c'est le cas d'OVH.

[Jarodd]

J'ai essayé, ça marche pô : La connexion a été interrompue

J'ai ouvert un ticket pour savoir comment modifier la config, j'attend la réponse.

Je n'avais pas vu ton edit Dudul : oui c'est bien Apache 2.

[RaphAstronome]

Tu est chez quel hébergeur ? Quelle offre ?

[Jarodd]

Je suis chez o2switch (offre unique).

[dudul88]

http://www.o2switch....topic.php?id=32

Donc apparemment tu ne peux pas utilisé un certificat autosigné. Mais tu peux toujours leur demander.

[Jarodd]

J'en reviens donc à ma question initiale, avec Cacert ou Startcom :)

[dudul88]

Leurs certificats ont peu ou prou la même valeur qu'un certificat autosigné. Il faut demander directement à l'hébergeur ce qu'il accepte comme certificat (sa FAQ n'est pas très claire là dessus).

[Jarodd]

Yep je leur ai demandé, j'espère avoir un retour rapide !

[Jarodd]

Yop,

Voilà leur réponse :

L'ajout d'un certificat SSL rend obligatoire l'attribution à votre compte d'un IP dédiée. Contrairement aux autres prestataires nous ne faisons pas payer ce service mais demandons à ce qu'un certificat réel soit installé : nous devons en effet justifier des attributions IPv4 auprès du RIPE qui est l'organisme Européen en charge. En effet les IP deviennent de plus en plus rares

Je ne suis pas sûr de bien comprendre, quel est le rapport avec mon IP ?

[Jarodd]

A priori c'est mort puisque je ne veux pas acheter un certificat.

Connaissez-ovus d'autres solutions qui permettraient d'obfusquer les données sur ce serveur ?

[Jarodd]

Pour continuer le monologue , voici leur nouvelle réponse (à la question de Cacert/Trustico, gratuits)

J'ai attribué l'ip dédiée à votre compte. De fait, dans le gestionnaire SSL vous devriez trouver un bouton "établir une connexion https" où rajouter un certificat.

Je préfèrerai un certificat classique payant dans le cas où nous devions justifier votre attribution IP. Cependant, je vous laisserez juge de vos besoins.

[Killator]

Ah oué, c'est pas mal comme réponse ça...

Par contre, pour la pénurie d'IPv4, on sait qui adresser maintenant ! Merci Jarodd !

Sinon, certains registrars offrent un certificat SSL gratuit quand tu prends un nom de domaine chez eux (ex: gandi)...

A 10€/an TTC... Tu peux p'tet regarder par là...

[Jarodd]

Bah de rien mais cela ne résoud pas mon problème

Pour Gandi, j'ai déjà le domaine avec l'offre o2, je préfèrerai ne pas en prendre un autre (ou le transférer).

C'est un besoin uniquement personnel, je cherche juste à sécuriser le trafic vers mon hébergement, car je sais qu'il est surveillé au boulot (je veux pouvoir me connecter au site et naviguer sans être pisté, j'ai une identication par htpassd et je ne veux pas qu'on voit les identifiants).

Je me suis orienté vers la solution du certificat HTTPS, mais ce n'est pas forcément la meilleure solution : toute idée est la bienvenue !

[Killator]

Oué, je comprends tout à fait le besoin... J'ai eu le même...

J'ai creusé longtemps le sujet dans tous les sens (pas grand chose à faire en dehors du SSL)...

J'ai finalement opté pour le transfert 1&1 vers OVH... J'ai tardé à activer mon SSL gratuit... Et ils ont retiré cette option... #FAIL !

Du coup, je fonctionne en auto-signé, non certifié comme expliqué plus haut

[dudul88]

Si c'est uniquement pour le boulot moi je louais un petit serveur VPS à 5€/ans et j'utilisais un tunnel ssh pour sécuriser les données. Et puis ça peut servir à autre choses, un VPS...

[Jarodd]

VPS ? Je connais le VPN mais pas le VPS

Edit : ok je vois le principe. Mais dans ce cas à quoi ça sert d'avoir un hébergeur

[dudul88]

C'est clair qu'une fois que tu as un VPS, ton hébergeur ne sert plus à grand chose.