Concrétisons Nos Idées

JAH-8 – De la sécurisation par certificat SSL

Rédigé par Samaël - -

Journal de bord du capitaine :
Date : 29 janvier 2010
Lieu : Perdu dans le cyber espace

Mon registrar, Gandi, incluait dans sa prestation un certificat SSL (Secure Sockets Layer) la première année. Un certificat SSL est un fichier contenant une empreinte certifiée authentique par une autorité de certification. En terme clair : le certificat délivré par Gandi (et certifié par eux) permet à une personne se connectant sur mon domaine de savoir qu'elle n'a pas été, à son insu, redirigée vers un site frauduleux. C'est grâce à ce certificat que mon domaine est accessible en utilisant le protocole HTTPS, ainsi les données qui transitent vers et depuis mon serveur sont chiffrées et donc inexploitables pour quelqu'un qui "snifferait" [1] mon réseau .

Il existe plusieurs autorités de certifications proposant des certificats payants ou non. Il est même possible de signer soi-même son certificat mais les certificats auto-signés et ceux de certaines autorités de certifications pas encore très reconnues peuvent provoquer un message d'avertissement lors de la première tentative de connexion sur le site qu'elles sont sensées authentifier.

Grâce aux étapes détaillées pas à pas dans le wiki de Gandi la création de mon certificat SSL se déroula sans encombre, une première depuis mes débuts d'administrateur système ! Une fois le certificat obtenu, il me fallait l'installer sur mon serveur et donc pour cela installer le fameux paquet apache2. Apache est certainement le plus connu et le plus utilisé des serveurs HTTP [2] , son rôle est simple : c'est lui qui, selon l'adresse demandée par un utilisateur, va renvoyer tel ou tel contenu.

Comme d'habitude l'installation par aptitude prit moins d'une minute, le serveur apache se lance et avant de modifier quoi que ce soit, je me décide à tester si la configuration par défaut est fonctionnelle. Je me connecte donc depuis mon navigateur internet sur mon nom de domaine et là, comme prévu, malgré une petite appréhension, je vois s'afficher un magnifique It works ! (page renvoyée par défaut par apache). Jusqu'ici tout allait bien comme dirait l'autre ...

Suivant toujours le wiki de Gandi, je commence à modifier les fichiers de configuration d'apache pour mettre en place l'accès sécurisé à mon site en utilisant mon certificat SSL. Je suis scrupuleusement le tutoriel, redémarre le serveur apache et là ... c'est, une nouvelle fois, le drame ! Ça faisait longtemps ...

En me basant à la fois sur la documentation officielle et sur les fichiers gérant la configuration par défaut, j'ai pu rapidement modifier mes propres fichiers de configuration et après quelques essais, une connexion sur https://gehenne.net me renvoya un très attendu It works ! .

L'intérêt d'avoir un accès sécurisé à mon domaine est que cela me permettait de mettre en place une connexion entièrement sécurisée à mon serveur ejabberd. En effet, pour l'instant l'envoi du mot de passe pour accéder à mon compte se faisait en clair. Après avoir lu la documentation d'ejabberd et le wiki sur l'auto-hébergement, j'ai pu configurer mon serveur de messagerie instantanée avec le niveau de sécurité qui me convenait le mieux. La configuration d'ejabberd étant toujours aussi sensible, il m'a quand même fallu quelques tentatives avant de refaire fonctionner le serveur.

Conclusions :

  • La sécurisation d'un serveur est une chose essentielle à mettre en place le plus rapidement possible.
  • Les certificats des plus importantes autorités de certification (le plus souvent payant) garantissent une connexion sécurisée sur le domaine sans message d'avertissement.

Prochaine entrée du journal : De l'avancement des choses dans une faille temporelle

Notes

[1] "Sniffer des paquets" consiste à récupérer les paquets qui circulent sur un réseau afin d'analyser à des fins plus ou moins frauduleuses ce qu'ils contiennent.

[2] En réalité Apache est le nom d'une fondation aux multiples projets dont le plus connu est le serveur HTTP. La liste le tout les projets se trouve ici.

#1 Jim a dit :

Salut,

J`adore ce journal, il est agréable à lire avec de bonne petite anecdotes.

Je tenais à te le dire.

Par contre, une chose me fait bondir:
""Sniffer des paquets" consiste à récupérer les paquets qui circulent sur un réseau afin d'analyser à des fins plus ou moins frauduleuses ce qu'ils contiennent."

C'est une généralisation plutot fausse.
Sniffer un réseau peut être fait:
- à des fins d'audit de sécurité.
- Pour reperer justement une machine frauduleuse ou envoyant des trames vérolées sur le réseau.
- Analyser pourquoi une machine à des problemes sur le réseau.

Ceci pour dire que sniffer des paquets peut être fait à des fins tout à fait louables.

Jim
P

#2 Samaël a dit :

@Jim :
Merci beaucoup Jim !
Ça fait toujours plaisir de savoir qu'on est lu et apprécié, et du coup j'en profite pour m'excuser pour le rythme de parution ridiculement lent de cette série d'articles.
Promis je vais essayer d'être beaucoup plus régulier.

Concernant la récupération de paquets, tu as tout à fait raison de préciser qu'on peut faire ça sans intention maligne. J'avais essayé de nuancer mon propos par mon "plus ou moins" mais je ne voulais pas trop rentrer dans les détails par manque de connaissance dans ce domaine. Merci pour ces précisions.

Les commentaires sont fermés.