CONFIANCE est le mot qui nous vient à l'esprit lorsque nous parlons d'autorité de certification. StartSSL, une autorité de certification qui fournit un certificat SSL gratuit d'une validité d'un an pour une utilisation non commerciale. Une initiative qui visait à sécuriser le trafic Internet a maintenant perdu CONFIANCE - StartSSL méfié ! L'autorité de certification a bien perdu confiance en octobre 2016 – vous trouverez ci-dessous la déclaration de Mozilla. Recherchez la mise à jour ci-dessous concernant la résiliation du service SSL de StartCom.
Mozilla a découvert qu'une autorité de certification (CA) appelée WoSign a connu un certain nombre de défaillances techniques et de gestion. Plus sérieusement, nous avons découvert qu'ils antidatent les certificats SSL afin de contourner la date limite à laquelle les autorités de certification cessent d'émettre des certificats SSL SHA-1 d'ici le 1er janvier 2016. De plus, Mozilla a découvert que WoSign avait acquis la pleine propriété d'une autre autorité de certification appelée StartCom et n'a pas réussi à divulguez-le, comme l'exige la politique de Mozilla.
En savoir plus.
Aussi, la déclaration de Google.
Google a déterminé que deux autorités de certification, WoSign et StartCom, n'ont pas maintenu les normes élevées attendues des autorités de certification et ne seront plus approuvées par Google Chrome
En savoir plus.
J'ai un certificat SSL émis par StartSSL, cela affectera-t-il mon site ?
La réponse est OUI et NON .
Oui , si votre certificat a été délivré après le 21 octobre 2016 00:00:00 UTC. Parce qu'ils ne sont pas approuvés par les navigateurs.
Non , si votre certificat a été délivré avant le 21 octobre 2016 à 00:00:00 UTC. Les navigateurs peuvent continuer à faire confiance tant qu'ils respectent la politique du navigateur. Mais c'est risqué, car vous ne savez jamais quand les navigateurs cesseront également de leur faire confiance.
Le certificat émis par StartSSL est sur le point d'expirer et son renouvellement résoudra le problème problème ?
Non! En fait, ce site utilisait un certificat délivré par StartSSL et il devait être renouvelé. Et au moment où j'ai essayé de le renouveler, c'est ce qu'a dit StartSSL.
On s'est méfié de StartSSL CA en octobre 2016 et, dans six mois, en avril 2017. Je m'attendais donc à ce que l'entreprise ait apporté les modifications nécessaires pour se conformer aux politiques de l'autorité de certification et un réexamen a été demandé à Google, Mozilla et Apple. Mais malheureusement, ce n'était pas le cas. J'ai renouvelé et installé le nouveau certificat pour ne voir que l'avertissement de sécurité du navigateur.
Les certificats StartSSL seront-ils à nouveau fiables ?
Espérons qu'après quelques mois. Mais cela fait six mois qu'il est méfiant et les certificats émis même après 6 mois ne sont pas approuvés par les navigateurs. Ont-ils soumis la demande à Google, Mozilla et Apple pour réexamen ? Même le site Web officiel de StartSSL ne dit pas quand l'autorité sera à nouveau approuvée, mais ils vendent toujours des certificats. Cependant, pour l'instant, l'utilisation de StartSSL n'est pas conseillée.
Mise à jour du 02 décembre 2017 : Le service StartSSL de StartCom a été résilié ! Vous trouverez ci-dessous le courrier de StartCom concernant la résiliation de leur service.
Alors, quelle est l'alternative ?
Alternatives pour StartSSL
a) Vous pouvez acheter un certificat commercial auprès d'un fournisseur de certificats de confiance.
(ou)
b) Choisissez un autre fournisseur de certificats gratuit, comme LetsEncrypt.
Comment sécuriser votre site Web avec LetsEncrypt ?
LetsEncrypt est une autorité de certification gratuite, automatisée et ouverte qui fournit un certificat SSL avec une validité de 90 jours.
L'installation du certificat LetsEncrypt est assez simple. Tout ce que vous avez à faire est d'utiliser Certbot – un script qui demande automatiquement un certificat à LetsEncrypt et active HTTPS sur votre site Web. Certbot prend en charge Apache, Ngnix et Haproxy.
Étape 1 :Télécharger Certbot
# wget https://dl.eff.org/certbot-auto
Étape 2 :Définir l'autorisation d'exécution
# chmod a+x certbot-auto
Étape 3 :consultez les différentes options prises en charge par le script.
# ./certbot-auto -h
Le script prend en charge le plug-in pour les serveurs Web, comme indiqué ci-dessous :
--apache Use the Apache plugin for authentication & installation --standalone Run a standalone webserver for authentication --nginx Use the Nginx plugin for authentication & installation --webroot Place files in a server's webroot folder for authentication --manual Obtain certs interactively, or using shell script hooks
Par défaut, le script obtiendra et installera le certificat sur votre serveur Web actuel. Au cas où, si vous avez juste besoin d'obtenir un certificat et que vous ne voulez pas l'installer sur le serveur Web, utilisez certonly comme indiqué ci-dessous :
# ./certbot-auto --apache certonly
Test et essai : Les options ci-dessous peuvent être utilisées pour demander un certificat de test et effectuer un test pour tester les renouvellements de certificat.
--test-cert Obtain a test cert from a staging server --dry-run Test "renew" or "certonly" without saving any certs to disk
Certbot ne prend pas en charge plusieurs hôtes virtuels dans un seul fichier de configuration
Le certbot Le script nécessite que tous vos domaines soient configurés dans un fichier de configuration Virtual Hosts distinct. Par exemple, j'avais configuré VirtualHosts pour tous mes domaines (y compris le domaine principal et les sous-domaines) dans httpd.conf fichier - un seul fichier contenant plusieurs vhosts. Dans ce cas, le certbot Le script a pu obtenir un certificat pour tous les domaines, mais n'a pas pu s'authentifier pour s'installer sur le serveur Web. Selon ce fil, le comportement était intentionnel pour éviter les erreurs lors de l'installation des certificats. Donc, si vous avez plusieurs hôtes virtuels configurés dans un seul fichier, vous devez le diviser en différents fichiers d'hôtes virtuels avant d'exécuter certbot-auto commande.
Obtenir le certificat de LetsEncrypt et l'installer
# ./certbot-auto Obtaining a new certificate Performing the following challenges: tls-sni-01 challenge for domaina.com tls-sni-01 challenge for sub.domainb.com Waiting for verification... Cleaning up challenges Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem Deploying Certificate for domaina.com to VirtualHost /etc/httpd/conf.d/domaina-com.conf Deploying Certificate for domainb.com to VirtualHost /etc/httpd/conf.d/domainb-com.conf
Où sont stockés les certificats ?
Tous les certificats actifs seront stockés sous /etc/letsencrypt/live/ . Vérifiez également les autres répertoires sous /etc/letsencrypt .
[letsencrypt] # ls accounts archive csr keys live options-ssl-apache.conf renewal
Quelle est la validité des certificats émis par LetsEncrypt ?
Utilisez openssl commande pour vérifier la validité du certificat comme indiqué ci-dessous :
# openssl x509 -startdate -enddate -in /etc/letsencrypt/live/domaina.com/cert.pem notBefore=May 4 09:29:00 2017 GMT notAfter=Aug 2 09:29:00 2017 GMT
Renouveler les certificats
Étant donné que le certificat émis par Let's Encrypt expirera dans 90 jours, vous devez renouveler le certificat automatiquement avant leur expiration. Le "renouveler ' vous permettra de renouveler les certificats et de –faire un essai L'option vous aidera à simuler le processus de renouvellement.
$./certbot-auto renew
Simuler le renouvellement du certificat :
$./certbot-auto renew --dry-run ------------------------------------------------------------------------------- Processing /etc/letsencrypt/renewal/domaina.com.conf ------------------------------------------------------------------------------- Cert not due for renewal, but simulating renewal for dry run Renewing an existing certificate Performing the following challenges: tls-sni-01 challenge for domaina.com Waiting for verification... Cleaning up challenges Generating key (2048 bits), not saving to file Creating CSR: not saving to file ------------------------------------------------------------------------------- new certificate deployed with reload of apache server; fullchain is /etc/letsencrypt/live/domaina.com/fullchain.pem ------------------------------------------------------------------------------- ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domaina.com/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
Configurer la tâche Cron pour le renouvellement automatique du certificat
# crontab -e
Et ajoutez les lignes ci-dessous :
0 0 * * * /usr/bin/certbot-auto renew 30 13 * * * /usr/bin/certbot-auto renew
Remarque :N'oubliez pas de définir le chemin correct vers certbot-auto script et assurez-vous que cron est exécuté deux fois par jour. Eh bien, le certbot-auto ne fera rien sauf si le certificat doit être renouvelé.