Question:
Où obtenir un certificat SSL pour un site Web personnel?
pootzko
2010-12-15 21:58:26 UTC
view on stackexchange narkive permalink

Je voudrais utiliser https pour me connecter à ma page Web personnelle (qui est sur l'hébergement partagé). Je suis donc allé sur google et j'ai commencé à chercher des solutions. Finalement, j'ai découvert que j'avais besoin d'un certificat SSL pour accomplir cela (je pensais que tout était automatiquement activé pour chaque site Web, ne me demandez pas pourquoi).

Ensuite, je suis allé sur le site de mon fournisseur d'hébergement et j'ai découvert les prix de ces certificats ... Mais je n'ai pas besoin de quelque chose comme ça pour mon blog ... J'ai aussi découvert que les certificats peuvent être auto-signés, ou obtenus gratuitement auprès de certaines autorités de certification.

Ce que je me demande, c'est - comment dois-je aborder cela?
Puisque je suis le seul à me connecter, dois-je générer mon propre certificat? Ou en obtenir un gratuitement auprès d'un CA? Si oui, quelle autorité de certification? cacert peut-être? Est-ce que tout restera transparent de cette façon, ou vais-je commencer à recevoir des avertissements concernant un certificat personnalisé et non vérifié? Puis-je faire confiance à une solution comme celle-ci?

Est-il même judicieux d'essayer de faire quelque chose comme ça si j'utilise l'hébergement mutualisé? Je veux dire, d'après ce que j'ai lu - ce certificat devrait être installé sur le serveur, et pas seulement placé quelque part dans mon dossier d'hébergement (car je pensais que cela fonctionnerait) .. et le fournisseur d'hébergement ne le fera pas pour gratuit je suppose parce que ce n'est pas dans leur intérêt (en tout cas je leur ai demandé, et j'attends une réponse) ...

Dois-je simplement le laisser tomber, ou y a-t-il quelque chose que je puisse faire par moi-même ?

Pas tout à fait des doublons, car il s'agit d'une situation spécifique, mais consultez ces questions pour plus d'informations: http://security.stackexchange.com/q/90/33 et http://security.stackexchange.com/q/146 / 33
Six réponses:
#1
+38
jhulst
2010-12-16 00:37:13 UTC
view on stackexchange narkive permalink

J'aime utiliser StartCom pour obtenir un certificat gratuit. Jusqu'à la mi-2016, il était reconnu dans la plupart des principaux navigateurs et est préférable à l'utilisation d'un certificat auto-signé (aucune invite d'erreur pour les utilisateurs).

EDIT 2016 : les principaux fournisseurs de navigateurs tels que Mozilla, Apple et Google ont annoncé qu’ils (et leurs navigateurs) ne faisaient plus confiance à StartCom comme certificat autorité, en raison d'un comportement fragmentaire récemment découvert par l'autorité de certification (voir les liens dans les noms des fournisseurs pour leurs annonces à ce sujet et pourquoi).

Modifier 2017 : Let's Encrypt est maintenant une excellente option pour un usage personnel et semble être encore plus largement acceptée que StartSSL. Les inconvénients de Let's Encrypt sont la validité relativement courte du certificat (3 mois), mais ce n'est pas trop lourd si vous êtes en mesure de profiter du renouvellement automatique qu'ils offrent grâce à certains de leurs outils.

+1 - le seul navigateur que j'ai rencontré qui ne prenait pas en charge les certificats de StartCom est celui d'Android, bien que cela semble également être corrigé ces jours-ci.
J'aime aussi (et j'utilise) StartCom. Le navigateur Web Sony Playstation3 est le seul navigateur que j'ai rencontré qui ne lui fait pas confiance.
Java SE 6.0 ne fait pas non plus confiance aux certificats StartCom, je n'ai pas vérifié la version 7.0 mais je ne pense pas que rien ait changé.
Bien que j'aime l'idée de certificats SSL gratuits, nous devons garder à l'esprit les limites de ces protocoles de validation très bon marché. Ils ne valident la maîtrise du site qu'au moment de la génération du certificat; ils ne vérifient pas avec les autres autorités de certification les certificats émis précédemment. Un attaquant MITM peut agir comme votre site Web tout en générant un nouveau certificat pour lequel il possède une clé car le validateur n'utilisera évidemment pas HTTPS pour confirmer la propriété. Si l'attaquant peut s'asseoir devant l'autorité de certification, la vérification des e-mails et DNS peut également être renversée.
J'ai voté contre parce que même si cette réponse offre une solution pratique, elle ne répond qu'à un sous-ensemble de toutes les choses justifiées demandées par OP
#2
+11
Bradley Kreider
2010-12-16 22:38:48 UTC
view on stackexchange narkive permalink

L'une des seules raisons pour lesquelles vous achetez des certificats SSL (et n'achetez pas de clés rsa / dsa) est pour les relations de confiance.

Si vous pouvez importer en toute sécurité un certificat SSL auto-signé dans votre navigateur et installer le certificat SSL sur votre serveur Web, il n'y a aucune raison d'impliquer quelqu'un d'autre.

Consultez la description complète de SSL par AviD pour plus d'informations. Ce que SSL fournit:

  * Il crypte le canal * Il applique un contrôle d'intégrité * Il fournit une authentification  

Vous pouvez tout obtenir 3 d'entre eux, si vous utilisez des certificats auto-signés, mais que vous devez installer le certificat en toute sécurité sur vos points de terminaison pour obtenir la troisième fonctionnalité.

#3
+7
Rory McCune
2010-12-16 03:42:37 UTC
view on stackexchange narkive permalink

Une chose que vous devrez vérifier est de savoir si vous serez en mesure d'avoir SSL sur votre hébergement partagé. Si vous n'avez pas d'adresse IP unique (par exemple avec un plan VPS), il sera difficile de faire fonctionner SSL.

Traditionnellement, SSL est géré par ip et non par nom d'hôte, donc là où vous avez hébergement virtuel basé sur un nom (la plupart des plans d'hébergement Web bas de gamme), il n'est pas possible d'attribuer des certificats uniques à chaque site. C'est désormais possible avec SNI, mais vous devez vérifier que votre hébergeur et vos navigateurs le prennent en charge.

Le problème avec SNI est que WinXp et certains navigateurs d'appareils mobiles ne le prennent pas en charge, de toute façon si OP ne veut que SSL pour son backoffice, il devrait continuer si le fournisseur d'hébergement partagé le prend en charge.
#4
+7
pootzko
2016-12-09 22:40:46 UTC
view on stackexchange narkive permalink

Depuis récemment, il est également possible d'obtenir un certificat gratuit auprès de Let's Encrypt, une autorité de certification gratuite, automatisée et ouverte.

#5
+4
Andy Smith
2010-12-18 05:20:43 UTC
view on stackexchange narkive permalink

CACert, comme vous l'avez mentionné, est bon pour les certificats SSL, et est parfois un peu plus utile que l'utilisation de certificats auto-signés, car il y a maintenant beaucoup de gens qui ont le Certificat CA CACert installé dans leurs navigateurs, et ils sont assez puissants pour créer un réseau de confiance physique.

#6
+3
Matt Garrison
2010-12-15 23:01:43 UTC
view on stackexchange narkive permalink

Les hébergeurs partagés devront installer le certificat pour vous. Bien que vous puissiez créer un certificat auto-signé, je ne sais pas si un fournisseur partagé en installera un. Ils fournissent le même niveau de sécurité, mais obligeront les navigateurs à afficher un avertissement car ils ne sont pas enregistrés auprès d'une autorité de certification.

Si vous avez un VPS ou un VPS géré, vous pouvez installer un auto- signé vous-même. Vous pouvez appeler votre fournisseur ou voir s'il acceptera un certificat tiers moins cher (les goDaddy valent 12 $).

Si vous n'utilisez cette connexion qu'à des fins administratives (ajout de contenu à un blog ou quelque chose) et que vous avez un accès SSH à votre fournisseur, vous pouvez effectuer un tunnel via SSH dans l'hôte et accéder au site à partir de l'hôte local, empêchant ainsi la transmission des informations d'identification sur Internet.

«Ils offrent le même niveau de sécurité», ce n'est pas exact. Il fournit le même niveau de protection contre * l'interception *, mais ce n'est pas la même chose. Plus précisément, les certificats auto-signés ne fournissent pas d'authentification * (dans le cas général). Voir ma réponse [ici] (http://security.stackexchange.com/q/5/33).
C'est un point intéressant sur les certificats auto-signés et l'authentification. Cependant, dans ce cas, il semble que pootzko recherche un certificat pour sa propre connexion, dans ce cas, s'il crée une autorité de certification et un certificat auto-signé et importe la racine dans son navigateur, il dispose de cette authentification. Je suis d'accord pour la plupart des applications externes (Internet) que les certificats auto-signés ne sont pas une bonne option, mais pour les applications internes / personnelles, je pense qu'elles peuvent fournir autant que celles achetées.
@Rory, c'est vrai, probablement. C'est pourquoi je n'ai pas mis cela comme une vraie réponse (ou un vote négatif), mais j'ai senti que la clarification devrait être en place pour le prochain spectateur ...


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...