Comment vérifier les certificats SSL et rester en sécurité

Début 2025, Internet continue d'étendre sa portée, avec environ5,56 milliards d'utilisateurs. Cette croissance est stimulée par les progrès technologiques tels que la connectivité 5G, la prolifération des appareils mobiles et la disponibilité croissante de contenus en ligne diversifiés.

L'internet fait désormais partie intégrante de la vie quotidienne, offrant des services allant de la simple diffusion de contenu et du streaming vidéo à des espaces de travail complexes et des solutions financières. Les entreprises du monde entier subissent d'importantes transformations numériques, rendant les données plus accessibles en ligne que jamais.

Toutefois, la sensibilité et la confidentialité de ces données restent primordiales. Les informations personnelles et financières doivent être protégées par des pratiques de sécurité solides. C'est là que les protocoles Transport Layer SecurityTLS et Secure Sockets LayerSSL jouent un rôle crucial dans la sécurisation et le cryptage des communications sur l'internet.

TLS la norme industrielle pour sécuriser les sites Web, les API et les services en ligne, car les principaux organismes de normalisation ont progressivement abandonné SSL de ses vulnérabilités. À mesure que les menaces évoluent, TLS de s'adapter grâce à des avancées telles que la cryptographie post-quantique, tandis que SSL obsolète. Lameilleure pratique actuelle est TLS .3, uneétape vers TLS sécurisés contre l'informatique quantique.

Vous pouvez facilement vérifier si votre connexion est sécurisée en contrôlant le certificat TLS émis par le site web auquel vous accédez. La meilleure pratique consiste à n'interagir qu'avec des sites disposant d'un certificat TLS valide, car l'absence d'un tel certificat peut indiquer que le site est moins digne de confiance ou non sécurisé.

Alors,comment vérifier le protocole HTTPS? TLS facilede vérifier si un site est sécurisé par TLS . Tous les sites qui utilisent le système TLS ont le protocole HTTPS dans leur adresse web. HTTP signifie HyperText Transfer Protocol (protocole de transfert hypertexte), tandis que le S ajoute la partie sécurité fournie par TSL. Vérifiez donc ces deux éléments pour savoir si un site est TLS .

Le nom du site doit commencer par HTTPS, par exemple https://www.yoursitename.com.

Vous pouvez obtenir des informations détaillées sur la sécurité du site en cliquant sur l'icône d'information sur le site/verrouillage dans la barre d'adresse de votre navigateur.

Pour une explication approfondie et une meilleure compréhension de la TSL, de son fonctionnement et de son importance, poursuivons notre lecture.

Qu'est-ce qu'un certificat TLS ?

Un certificat TLS est un certificat numérique qui vérifie l'authenticité d'un site web et permet une communication cryptée entre le navigateur de l'utilisateur et le serveur. TLS est l'abréviation de Transport Layer Security, le successeur moderne de SSL (Secure Sockets Layer), et constitue le protocole cryptographique standard de l'industrie pour la sécurisation des données en transit. TLS 1.3, la dernière version, offre une sécurité améliorée, une latence réduite et des algorithmes de cryptage plus puissants que les versions précédentes.

Un certificat TLS sert de clé publique au site web et est émis par une autorité de certification (AC) de confiance. Lorsqu'un utilisateur se connecte à un site web, son navigateur vérifie la validité du certificat pour s'assurer que le site est légitime et qu'il ne s'agit pas d'un imposteur. La clé privée, détenue en toute sécurité par le serveur, fonctionne avec la clé publique pour établir une session cryptée.

TLS 1.3 élimine les algorithmes cryptographiques obsolètes, améliore le secret de transmission et rationalise le processus d'échange, ce qui rend les connexions sécurisées plus rapides et plus résistantes aux attaques. Les navigateurs web et les serveurs modernes appliquent le cryptage TLS , de sorte que toutes les données échangées restent confidentielles et protégées contre les écoutes, les attaques de type "man-in-the-middle" et les accès non autorisés.

Comment fonctionnent les certificats SSL ?

Un certificat SSL est un titre de créance numérique émis par une autorité de certification de confiance, qui signale que le site web est légitime et sécurisé. Il permet une communication cryptée entre votre navigateur et le serveur, protégeant ainsi les données sensibles - telles que les mots de passe, les informations personnelles et les détails de paiement - contre l'interception et la falsification.

Communication TLS traditionnelle

Lorsque vous visitez un site web, votre navigateur envoie une demande au serveur web. Le serveur traite cette demande et renvoie la réponse appropriée. Bien que cette interaction puisse sembler simple, elle est vulnérable aux attaques de type "man-in-the-middle" (MITM) si elle n'est pas correctement sécurisée. Un acteur malveillant pourrait intercepter les données en transit et extraire des informations confidentielles.

Par exemple, si vous vous connectez à votre portail bancaire en ligne et que quelqu'un intercepte ce trafic, vos informations d'identification peuvent être exposées, ce qui peut entraîner un vol d'identité ou une perte financière.

TLS empêche cela en chiffrant les données. Même si un pirate intercepte le trafic, le contenu crypté apparaîtra comme un charabia inintelligible à moins qu'il ne possède la bonne clé de décryptage.

SSL utilise un cryptage asymétrique lors de la connexion initiale impliquant une paire de clés publique-privée :

• Le serveur détient la clé privée.
• Le client (navigateur) reçoit la clé publique, qu'il utilise pour crypter les données.
• Seul le serveur peut décrypter les données à l'aide de sa clé privée.

Ce processus est connu sous le nom de "poignée de main TLS " :

• Accord et échange de clés (établissement de clés de session pour le cryptage symétrique)
• Cryptage des données (à l'aide de clés de session)
• Authentification du serveur (vérification de l'identité du serveur et de l'intégrité des données)

L'avenir du cryptage : Se préparer à l'après-quantique

Si les protocoles TLS actuels sont sécurisés contre les ordinateurs classiques, ils ne sont pas conçus pour résister aux attaques des ordinateurs quantiques. Un ordinateur quantique suffisamment puissant pourrait casser les algorithmes de chiffrement traditionnels, en particulier ceux utilisés dans l'échange de clés lors de la poignée de main TLS .

Cette situation a suscité une inquiétude croissante concernant les attaques de type "harvest now, decrypt later" (HNDL), dans lesquelles les adversaires enregistrent aujourd'hui le trafic crypté dans l'intention de le décrypter à l'avenir, une fois que les capacités quantiques seront disponibles, laissant les données actuelles vulnérables à l'avancée de la technologie.

Pour se défendre contre cette menace, l'industrie s'oriente vers la cryptographie post-quantique (PQC). Dans les prochaines versions de TLS, le processus de poignée de main remplacera les algorithmes traditionnels d'échange de clés tels que RSA par des mécanismes d'encapsulation de clés (KEM). Les KEM sont des primitives cryptographiques conçues pour être résistantes au quantum dans le cadre des nouvelles normes en cours de développement par des organisations telles que le NIST et l'IETF.

La migration vers des certificats et une infrastructure compatibles avec la PQC est essentielle pour assurer la confidentialité des données à long terme. À mesure que les algorithmes à sécurité quantique sont finalisés et intégrés dans des protocoles tels que TLS 1.3 et au-delà, les organisations doivent être proactives dans la mise à jour de leurs systèmes pour inclure la PQC aux côtés des algorithmes classiques dans un modèle hybride - offrant à la fois une protection immédiate et une résilience future.

Les différents types de certificats SSL

Les certificats SSL peuvent être classés selon deux critères principaux : le nombre de domaines qu'ils sécurisent et le niveau de validation effectué par l'autorité de certification.

Basé sur l'étendue du domaine

• Certificat à domaine unique: sécurise un nom de domaine complet (FQDN), tel quewww.example.com. Il ne couvre pas les sous-domaines ni les autres domaines.
• Certificat générique: sécurise un domaine unique et tous ses sous-domaines. Par exemple, un certificat générique pour*.exemple.comcouvreblog.exemple.com,mail.exemple.com, etc.
• Certificat multi-domaines (certificat SAN): prend en charge plusieurs domaines non liés à l'aide d'un seul certificat. Par exemple, un seul certificat SAN peut sécuriserexample.com,example.net etanotherdomain.org.

Basé sur le niveau de validation

Si tous les certificats TLS offrent le même niveau de cryptage, le processus de validation effectué par l'autorité de certification diffère et a une incidence directe sur le niveau de confiance et les informations affichées dans le certificat.

• Certificat validé par domaine (DV): l'autorité de certification vérifie que le demandeur est propriétaire ou contrôle le domaine. Il s'agit du type de validation le plus basique et le plus rapide, généralement délivré en quelques minutes. Aucune information sur l'organisation n'est vérifiée ou affichée. Les certificats DV sont donc plus adaptés aux sites personnels ou internes qu'aux sites Web commerciaux ou publics.
• Certificat OV (Organisation Validated): l'autorité de certification vérifie le domaine et l'existence légale de l'organisation. Les détails de l'organisation sont inclus dans le certificat, ce qui offre une plus grande crédibilité que le certificat DV. Les certificats OV sont recommandés pour les sites Web commerciaux et les applications qui collectent des données utilisateur.
• Certificat à validation étendue (EV)— Il s'agit du niveau le plus élevé de validation de certificat. L'autorité de certification procède à un examen approfondi de l'organisation, y compris la vérification de son existence juridique, physique et opérationnelle. La demande doit être initiée par l'organisation elle-même. Les certificats EV sont régis par les directives EV du CA/Browser Forum (CABF), établies en 2007. Les navigateurs affichent souvent des indicateurs visuels améliorés (tels que le nom de l'organisation) lorsque des certificats EV sont utilisés, signalant ainsi un niveau de confiance plus élevé aux utilisateurs.

En comprenant à la fois l'étendue du domaine et le niveau de validation, vous pouvez choisir le bon certificat qui correspond à l'objectif de votre site, au profil de risque et aux exigences de confiance des utilisateurs. Des niveaux de validation plus élevés indiquent une plus grande crédibilité, ce qui peut être essentiel pour les entreprises qui traitent des données sensibles ou des transactions financières.

Quelle est la différence entre SSL et TLS?

Transport Layer SecurityTLS est la norme moderne pour sécuriser les transferts de données sur l'internet. Bien qu'il soit souvent mentionné aux côtés de SSL, TLS n'est pas simplement une nouvelle version : c'est un protocole plus sûr, plus efficace et activement entretenu qui a entièrement remplacé SSL dans la pratique.

Développé à l'origine par Netscape en 1994, le SSL a jeté les bases de la communication cryptée sur le web. Cependant, en raison de graves vulnérabilités et limitations, SSL a été abandonné. La dernière version, SSL 3.0, a été officiellement retirée et TLS a été introduit en 1999 pour lui succéder. Depuis lors, TLS a connu de nombreuses améliorations, la dernière versionTLS 1.3) ayant été publiée en 2018.

Bien que les termes SSL et TLS soient encore utilisés de manière interchangeable dans les conversations et les noms de produits, TLS est le protocole réellement utilisé aujourd'hui.

Principales différences entre SSL et TLS

Bien que les deux protocoles visent à fournir une communication sécurisée et authentifiée, TLS améliore SSL sur plusieurs points importants :

• Suites de chiffrement:TLS des algorithmes de chiffrement plus puissants et plus modernes, tels que AES et ChaCha20, améliorant ainsi la sécurité et les performances.
• Messages d'alerte:TLS des messages d'erreur plus détaillés et spécifiques, ce qui facilite le dépannage et améliore la clarté par rapport aux alertes génériques SSL.
• Protocole d'enregistrement—TLS HMAC (Hash-Based Message Authentication Code) pour l'intégrité des données, qui est plus sécurisé que le format MAC de base utilisé par SSL.
• Processus de poignée de main—TLS le mécanisme de poignée de main afin d'améliorer la vitesse et la sécurité. Contrairement à SSL, TLS des hachages sur les messages de poignée de main eux-mêmes, offrant ainsi une meilleure authentification.
• Authentification des messages:TLS sur une authentification basée sur le hachage utilisant HMAC, tandis que SSL des techniques moins robustes impliquant des données clés.

L'importance de TLS aujourd'hui

Tous les navigateurs, API et services Internet modernes reposent sur TLS, et non SSL. Les principaux organismes de normalisation et les fournisseurs de navigateurs ont complètement abandonné la prise en charge du SSL en raison de ses vulnérabilités.

Si vous mettez en place une communication sécurisée, que ce soit pour un site web, un serveur de messagerie ou un service en nuage, vous devez toujours utiliser TLS. Le fait de continuer à faire référence à SSL est en grande partie une question de dénomination héritée, et non de meilleure pratique.

Au fur et à mesure que l'internet évolue pour faire face à de nouvelles menaces, y compris l'informatique quantique, TLS continuera à s'adapter, en incorporant la cryptographie post-quantique et des mécanismes d'échange plus efficaces. Comme indiqué ci-dessus, les principaux organismes de normalisation et les fournisseurs de navigateurs ont complètement abandonné le protocole SSL, qui appartient désormais au passé.

Comment vérifier les certificats SSL ?

Tous les navigateurs modernes vous permettent de vérifier rapidement si un site est sécurisé par le cryptage SSL ou non. Le moyen le plus simple de savoir si un site est crypté SSL ou non est de vérifier son URL. L'URL du site doit commencer par HTTPS. 

Pour plus de détails sur les références de sécurité du site, vous pouvez cliquer sur l'icône du cadenas près de la barre d'adresse et obtenir plus d'informations sur les détails du certificat SSL du site. 

Alors,où trouver SSL sur le serveur? Pour afficher SSL détaillées sur les navigateurs courants tels que Chrome et Firefox, vous pouvez suivre les étapes ci-dessous : 

• Cliquez sur l'icône du cadenas dans la barre d'adresse du navigateur. Par exemple, voici ce que cela donne pour keyfactor.com

• Cliquez sur la fenêtre contextuelle du certificat et vérifiez les détails du certificat tels que la date d'expiration et la durée de validité.

• Dans le cas des certificats à validation étendue, vous obtiendrez davantage d'informations, telles que les données d'identification de l'organisation. Pour les autres types de certificats, les coordonnées de l'autorité de certification ne s'affichent que dans la partie inférieure de la fenêtre contextuelle.
• Pour obtenir des informations plus détaillées sur le certificat SSL , telles que la hiérarchie des certificats, cliquez sur le(s) onglet(s) fourni(s), tel que "Détails".

Comment savoir si vous avez un certificat SSL ?

Si vous êtes propriétaire d'un site et que vous souhaitez vérifier votre certificat SSL , le moyen le plus simple est de vérifier dans votre tableau de bord s'il existe un certificat approuvé émis par une autorité de certification. Si plusieurs certificats SSL sont installés pour votre site, vous pouvez les localiser en utilisant l'une des deux méthodes suivantes.

Outil de gestion des certificats pour Windows

SSL ou scannersSSL , tels que celui fourni par Keyfactor, sont utilisés pour analyser l'ensemble de votre réseau et localiser tous vos certificats installés.

• Vous pouvez également utiliserl'outil Windows Certificate Managersi vous utilisez l'environnement Windows Server.
• Pour afficher les certificats stockés sur votre appareil local, lancez l'outilGestionnaire de certificats.

Pour ce faire, ouvrez Command , tapezcertlm.msc, puisappuyez sur Entrée.

• Vous pouvez afficher tous les certificats stockés sur votre ordinateur dans le volet de gauche et développer le répertoire pour obtenir des informations plus détaillées sur un certificat.
• Pour les certificats accessibles à l'utilisateur actuel, lancezl'outil Gestionnaire de certificatsen tapantcertmgr.mscdans une session Command .

Magasins de certificats

Si vous n'utilisez pas d'outil, vous pouvez rechercher et localiser manuellement les certificats installés dans les magasins de certificats. Les magasins de certificats sont des conteneurs dans l'environnement du serveur qui contiennent tous vos certificats. En fonction du type de certificats stockés, les magasins de certificats peuvent être classés comme suit :

• Personnel - Ces magasins contiennent des certificats avec des clés privées
• Autorités de certification racine de confiance - Tous les certificats de tiers et les certificats des organisations clientes seront stockés ici.
• Autorités de certification intermédiaires - Elles comprennent les certificats délivrés aux autorités de certification subordonnées.

Si vous utilisez un serveur Windows, vous pouvez accéder au magasin de certificats en suivant les étapes suivantes :

• Ouvrez la consoleMMC (Microsoft Management Console)en saisissantMMC dans unesessionCommand .
• Cliquez surFichier, puis sélectionnezAjouter/Supprimer un composant logiciel enfichable...
• Une liste de composants logiciels enfichables s'affiche. SélectionnezCertificatsdans la liste, puis cliquez surAjouter >.

• SélectionnezCompte d'ordinateur, puis cliquez surSuivant >Terminer. Si vous souhaitiez afficher les certificats liés à votre identité, vous auriez sélectionné « Mon compte utilisateur » à la place.
• Ensuite, cliquez surOK, et vous serez redirigé vers la page des composants logiciels enfichables.

Pour afficher un certificat particulier dans le composant logiciel enfichable MMC, double-cliquez surCertificats (ordinateur local) dansle volet gauche, puis développez un magasin de certificats pour afficher les certificats, par exemplePersonnel > Certificats. Les certificats disponibles dans le magasin de certificats sélectionné s'affichent dans le volet central de la fenêtre. 

Pour visualiser le certificat, double-cliquez dessus. Une fenêtre de certificat apparaît et affiche les différentes propriétés du certificat sélectionné, telles que la durée de validité, la date d'expiration, le chemin d'accès et tous les détails de la clé privée associée.

Mon certificat SSL est-il valide ?

Tous les certificats SSL ont une durée de vie limitée et une date d'expiration déterminée. Lorsque la date d'expiration est atteinte, le certificat n'est plus considéré comme valide. 

Historiquement, la plupart SSL ont une durée de vie comprise entre un et trois ans. Aujourd'hui, la durée de vie maximale autorisée est de 397 jours. Cependant, le CA/Browser Forum, un regroupement volontaire d'émetteurs de certificats et de fournisseurs de software de navigation Internet software d'autres applications utilisant des certificats (consommateurs de certificats), a officiellement adopté un vote visant àmodifier les exigences TLS afin de réduire la durée de vie maximale à seulement 47 jours, reflétant ainsi l'évolution générale du secteur vers une plus grande agilité dans la gestion des certificats, élément central des PKI quotidiennes PKI . 

Dans la plupart des cas, un certificat est remplacé à l'approche de sa date d'expiration. Mais certaines conditions, comme la vulnérabilité Heartbleed, la dépréciation de SHA-1, les fusions d'entreprises ou les changements de politique de sécurité, peuvent exiger que les certificats soient réémis plus tôt. La durée de vie des certificats continuant à diminuer, les entreprises devront adopter des approches plus automatisées et plus souples pour gérer l'PKI à grande échelle et éviter les interruptions de service. 

Comment vérifier les certificats SSL dans Windows ?

Pourvérifier si un SSL est installé, vous pouvez utiliser l'outil Certificate Manager et vérifier sa période de validité. Une autre option consiste à utiliser l'utilitaireWindows Sysinternals sigcheckpourvérifier TLS . Téléchargez l'utilitaire et exécutez-le avec la command sigcheck -tv. Il affichera toutes les listes de certificats racine Microsoft approuvés.

Certificat auto-signé

Avant d'installer un SSL , vous devez vous assurer que vous disposez de certificats valides émis par une autorité de certification. Pour ce faire, vous devrez générer une CSR. CSR signifie «Certificate Signing Request » (demande de signature de certificat), c'est-à-dire la manière dont vous faites une demande pour recevoir un SSL auprès d'une autorité de certification. 

Une RSC se compose d'une clé publique et d'autres détails nécessaires pour valider votre identité. Vous devrez fournir des informations telles que le nom distinctif (DN), le nom commun (CN) et le nom de domaine pleinement qualifié (FQDN) de votre site web qui a besoin du certificat. 

Création d'une CSR à l'aide d'Open SSL (multiplateforme) :

• Exécutez le fichier command ci-dessous dans votre terminal

openssl req -out testsite.csr -new -newkey rsa:2048 -nodes -keyout testsite.key

• Il se peut que l'on vous demande un mot de passe facultatif, et vous pouvez fournir un mot de passe pour protéger votre clé privée. Cette page command créera une CSR sous le nom testsite.csr et une clé privée de 2048 bits sous le nom testsite.key. 

Création d'une CSR à l'aide de certreq sous Windows :

Si vous utilisez un environnement Windows, vous pouvez générer une CSR à l'aide de l'outil intégré certreq : 

• Créer un fichier INF avec le contenu suivant

[Version]

Signature="$Windows NT$"

[NewRequest]

Subject = "CN=www.yourdomain.com, O=Votre organisation, L=Ville, S=État, C=Pays"

KeySpec = 1

Longueur de clé = 2048

Exportable = VRAI

MachineKeySet = TRUE

SMIME = FAUX

PrivateKeyArchive = FALSE

Protégé par l'utilisateur = FAUX

UseExistingKeySet = FALSE

ProviderName = "Microsoft RSA SChannel Cryptographic Provider" (Fournisseur cryptographique RSA SChannel de Microsoft)

Type de fournisseur = 12

RequestType = PKCS10

CléUsage = 0xa0

[Extensions]

2.5.29.17 = "{texte}"

_continue_ = "dns"

_continue_ = "dns.com"

• Exécutez la command suivante dans une session de l'Invite de Command :

certreq -new request.inf request.csr

Cela générera le fichier request.csr. Vous pouvez désormais envoyer cette CSR pour demander des fichiers de certificat signés à une autorité de certification valide. Après la validation nécessaire du domaine et de l'entreprise, l'autorité de certification vous fournira trois fichiers : la clé privée, le fichier de certificat et le fichier de certificat intermédiaire, qui peuvent être utilisés pour installer SSL votre serveur. Les fichiers peuvent également être regroupés dans un seul fichier PKCS#12.pfx, pour lequel un mot de passe est fourni pour l'installation.

Certificat auto-signé vs. Certificats signés par l'autorité de certification

Bien que les certificats signés par l'autorité de certification soient la méthode recommandée et fiable pour mettre en œuvre SSL, vous pouvez également utiliser des certificats auto-signés si nécessaire. Cependant, les navigateurs afficheront des messages d'avertissement, car ils ne seront pas considérés comme provenant d'une source fiable. 

Utilisez des certificats auto-signés si vous ne traitez pas de données sensibles ou si votre public cible est un groupe fermé. Si vous gérez un site de commerce électronique ou si vous traitez un volume de trafic important, les certificats signés par une autorité de certification sont la meilleure solution.

• Pour créer un certificat auto-signé SSL , vous pouvez exécuter la procédure suivante command dans votre environnement serveur :

openssl x509 -signkey testsite.key -in testsite.csr -req -days 365 -out testsite.crt

• Cette page command génère un fichier de certificat nommé testsite.com.crt à partir du fichier CSR. 

Configuration SSL

Configuration du certificat SSL sous Linux

Si vous utilisez un environnement de serveur Linux, l'installation d'un certificat SSL dépendra à la fois du système d'exploitation et du serveur que vous utilisez.

Serveur web Apache

Après avoir obtenu vos fichiers de certificat auprès de l'autorité de certification (AC), vous devez avoir :

• Un fichier de certificat (par exemple, ServerCertificate.crt)
• Un fichier de clé privée (par exemple, yoursite.key)
• Une chaîne de certificats ou un fichier bundle (par exemple, ChainBundle.crt)

L'emplacement des fichiers de configuration d'Apache peut varier en fonction de votre distribution :

• Ubuntu/Debian : 

/etc/apache2/apache2.confoussl.conf

• Red Hat/Alma Linux/CentOS

/etc/httpd/conf/httpd.confou/etc/httpd/conf.ssl.conf

You can include your certificate entries in the relevant <VirtualHost*:443> block:

<VirtualHost *:443>

    DocumentRoot /var/www/html

    Nom du serveur testcertificates.com

    SSLEngine ON

    SSLCertificateFile /etc/apache/ssl.crt/ServerCertificate.crt

    SSLCertificateKeyFile /etc/apache/key.crt/yoursite.key

    SSLCertificateChainFile ssl.crt/ChainBundle.crt

</VirtualHost>

Pour vérifier la configuration :

sudo apachectl configtest

Redémarrez ensuite Apache :

Ubuntu : sudo systemctl restart apache2

RHEL/Alma Linux : sudo systemctl restart httpd

Pour le serveur web NGINX

Si vous utilisez NGINX (courant sur de nombreuses distributions Linux pour des raisons de performance), le processus diffère légèrement. NGINX exige que le certificat et la chaîne soient regroupés dans un seul fichier :

• Combinez votre certificat et la liasse de l'autorité de certification :

cat ServerCertificate.crt ChainBundle.crt > fullchain.pem

• Modifiez votre bloc serveur NGINX :

serveur {

    listen 443 ssl;

    nom_du_serveur testcertificates.com ;

    sslssl.pem ;

    sslssl.key ;

    root /var/www/html ;

}

• Tester la configuration :

sudo nginx -t

• Redémarrer NGINX :

sudo systemctl restart nginx

Vérification

Une fois le serveur redémarré, testez votre installation SSL en visitant votre site dans plusieurs navigateurs et en vérifiant la présence de l'icône du cadenas HTTPS. Si vous rencontrez des problèmes, vérifiez à nouveau que les fichiers du certificat correspondent à la clé privée et au domaine, et contactez votre autorité de certification si nécessaire.

Configuration du certificat SSL dans Windows

Les étapes de l'installation des certificats SSL dans un serveur Windows 2022 utilisant Microsoft IIS 10 sont indiquées ci-dessous.

• Préparez votre certificat, votre clé privée et votre chaîne de certificats ou vos fichiers groupés. Vous pouvez les obtenir auprès de l'autorité de certification de votre domaine. Si possible, obtenez-les sous la forme d'un seul fichier PKCS#12.pfxafin de faciliter l'importation. Assurez-vous simplement de disposer du mot de passe correspondant pour l'installation. Si nécessaire, vous pouvez utiliser OpenSSL pour combiner les fichiers dans ce format à l'aide de la command suivante :

openssl pkcs12 -export -out combined.pfx -inkeyyoursite.key-inServerCertificate.crt-certfileChainBundle.crt

• Lancezle Gestionnaire IISen cliquant sur le boutonDémarrer, en tapantiis eten sélectionnantGestionnaire des services Internet (IIS). Vous pouvez également appuyer sur latouche Windows + R, taperinetmgret cliquer surOK. Dans l'arborescencedu menu Connexionsdans le volet gauche, double-cliquez sur le nom du serveur sousPage d'accueil.
• Dans la page d'accueil du nom du serveur, dans le volet central, sous lasection IIS, double-cliquez surCertificats de serveur.

• Dans le menuActionsdu volet droit, cliquez surImporter….

• Recherchez et téléchargez votre fichier.pfxde certificat. Entrez le mot de passe et modifiez le magasin de certificats de «Personnel »à «Hébergement Web » sivous prévoyez de charger plus de 30 certificats différents. Décochez la case si vous ne souhaitez pas que le certificat soit exporté du magasin de certificats avec la clé privée. Cliquez surOKpour enregistrer le SSL . Il devrait désormais être disponible dans laliste des certificats de serveur.
• Pour lier le certificat installé à votre site Web, dans l'arborescencedu menu Connexions, double-cliquezsur Sitessous le nom du serveur. Dans la page d'accueilSites, dans le volet central, double-cliquez sur le site auquel vous souhaitez lier le SSL .
• Dans le volet droit, sous le menuActions, cliquez surLiaisons…, puis sélectionnez le boutonAjouter…dans lafenêtre Liaisons de site.
• Définir les éléments suivants: :
  • Type - HTTPS
  • Adresse IP - Toutes les adresses non attribuées ou sélectionner parmi les adresses IP disponibles celle qui s'applique correctement au site.
  • Le port est 443 (par défaut) ou le port sur lequel votre trafic SSL est écouté.
  • Certificats SSL - le nom convivial du certificat SSL qui vient d'être installé
•  Cliquezsur Afficher pourvérifier les détails, puis surOK pourterminer la liaison.

Étapes du renouvellement d'un certificat SSL

Comme mentionné précédemment, chaque SSL a une date d'expiration, après laquelle les navigateurs commenceront à afficher des messages d'avertissement lorsque l'utilisateur accède au site.Un SSL expiréconstitue une faille de sécurité dont vous devez vous occuper en temps opportun. Pour éviter les complications en matière de sécurité et la baisse potentielle du score de confiance liée à un SSL expiré, vous devez les renouveler à temps. 

La procédure est assez similaire à l'obtention d'un nouveau certificat SSL . 

• Générer une CSR (Certificate Signing Request)
• Sélectionnez votre certificat SSL et entrez les détails requis, comme la période de validité dont vous avez besoin et d'autres détails, puis soumettez-le à l'autorité de certification. 
• Vous obtiendrez des fichiers de certificats renouvelés que vous pourrez utiliser sur votre serveur. 
• Pour renouveler les certificats SSL , vous devez suivre les mêmes procédures que pour obtenir un nouveau certificat SSL . Il peut s'agir de la validation du domaine, de la validation de l'organisation et d'autres vérifications nécessaires pour le niveau de certificat que vous demandez à l'autorité de certification.

Pour créer un nouveau certificat auto-signé avec le gestionnaire IIS sous Windows et renouveler un certificat d'autorité de certification

• Lancez leGestionnaire IISen cliquant sur le boutonDémarrer, en tapantiis eten sélectionnantGestionnaire des services Internet (IIS). Vous pouvez également appuyer sur latouche Windows + R, taperinetmgret cliquer surOK.
• Dans l'arborescencedu menu Connexionsdu volet gauche, double-cliquez sur le nom du serveur sousPage d'accueil.
• Dans la page d'accueil du nom du serveur, dans le volet central, sous lasection IIS, double-cliquez surCertificats de serveur.

Dans le menuActionsdu volet droit, cliquez surCréer un certificat auto-signé...

• Définissez un nom convivial facile à utiliser et remplacez le magasin de certificats «Personnel» par «Hébergement Web » sivous prévoyez de charger plus de 30 certificats différents. Cliquez surOK.
• Ces étapes permettent de créer un certificat auto-signé valable pendant un an, que vous trouverez dans lalistedes certificats de serveur.À ce stade, vous pouvez associer le certificat à votre site Web comme indiqué dans les étapes précédentes.
• La dernière étape consiste à ajouter votre certificat auto-signé à votre fichier Autorités de certification racine de confiance.
  • Ouvrez la consoleMMC (Microsoft Management Console)en saisissantMMC dansune session Command .
  • Cliquez surFichier, puis sélectionnezAjouter/Supprimer un composant logiciel enfichable…
  • Une liste de composants logiciels enfichables s'affiche. SélectionnezCertificatsdans la liste, puis cliquez surAjouter >.
  • SélectionnezCompte d'ordinateur, puis cliquez surSuivant >Terminer.
  • Cliquez surOK, et vous serez redirigé vers la page des composants logiciels enfichables.
  • Double-cliquez surCertificats (ordinateur local)dans le volet gauche. Double-cliquez et développez le magasin de certificats pour afficher le certificat auto-signé qui vient d'être créé viaPersonnel > Certificats. Copiez le certificat auto-signé dans ledossier Autorités de certification racine de confiance > Certificats.

Comment supprimer les certificats numériques expirés ?

Comme nous l'avons déjà mentionné, tous les certificats SSL sont assortis d'une date d'expiration, après laquelle ils seront considérés comme non valables et les navigateurs commenceront à afficher des avertissements de sécurité. Vous pouvez choisir de renouveler vos certificats SSL ou de les supprimer et d'exploiter votre site comme un site HTTP normal sans la couche de sécurité supplémentaire.

Voici les étapes à suivre pour supprimer un certificat numérique expiré dans les systèmes Windows :

• Lancez l'application MMC en allant dansDémarrer > Exécuter > MMC, puis sélectionnez lecomposant logiciel enfichable > Certificats.
• Sélectionnez l'ordinateur local et développez le dossierCertificatssous lerépertoire Personnel.
• Vous obtiendrez une liste de certificats dans le volet de droite. Cliquez avec le bouton droit de la souris sur le certificat que vous souhaitez supprimer et sélectionnez supprimer.

Dans les systèmes Linux Ubuntu, vous pouvez suivre ces étapes ou utiliser un outil tel que cPanel pour gérer les certificats de votre serveur.

• Ouvrez le terminal et exécutez la command suivante

sudo dpkg-reconfigure ca-certificates

• La liste de tous les certificats s'affiche, dans laquelle vous pouvez désélectionner les autorités de certification.
• Vous pouvez également modifier les listes de fichiers de l'autorité de certification stockées dans le fichier /etc/ca-certificates.cong et exécuter la commande command ci-dessous pour mettre à jour les modifications.

sudo update-ca-certificates

L'exécution de dpkg-reconfigure réinitialisera également automatiquement les certificats.

Comment désactiver SSL 2.0, SSL 3.0 et TLS 1.0 ?

Les protocoles TLS sont constamment améliorés afin d'éliminer les vulnérabilités connues et de renforcer la sécurité globale. TLS 1.3, la version la plus récente et la plus sûre, supprime non seulement les algorithmes cryptographiques obsolètes, mais prépare également le terrain pour l'intégration de la cryptographie post-quantique dans un avenir proche. Continuer à utiliser des versions plus anciennes comme SSL 2.0, SSL 3.0 ou même TLS 1.0 et 1.1 pose de sérieux risques de sécurité, car ces protocoles ne sont plus considérés comme sûrs contre les menaces modernes.

Pour maintenir un cryptage fort et une protection des données à long terme, désactivez toutes les anciennes versions SSL et TLS et adoptez TLS 1.3 dans la mesure du possible :

Désactivation des anciennes versions de SSL dans le serveur Apache

Modifiez les paramètres de configuration de votre serveur Apache. Le fichier de configuration peut se trouver à différents endroits, comme indiqué ci-dessous. Localiser :

• Ubuntu/Debian : /etc/apache2/apache2.conf
• Dans les systèmes d'hôtes virtuels debian/Ubuntu :/etc/apache2/sites-enabled/
• Dans l'hôte virtuel Red Hat/CentOS : /etc/httpd/sites-enabled/
• Systèmes CentOS/Redhat : /etc/httpd/conf/httpd.conf

Une fois le fichier localisé, recherchez l'entrée "SSLProtocol" et modifiez-la en

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

• Redémarrer le serveur Apache
• service httpd restart ou
• service apache2 restart

De même, pour les serveurs Nginx ou Tomcat, modifiez le fichier de configuration. Changez l'entrée ssl_protocols pour la dernière version de TLS et redémarrez le serveur.

Pour désactiver les anciennes versions de SSL dans Windows, vous pouvez utiliser un outil comme l'outil cryptographique IIS pour modifier les versions de SSL par le biais d'une application GUI. Pour faire la même chose manuellement, suivez les étapes suivantes

Ouvrez l'éditeur de registre en cliquant surDémarrer > Exécuter > regedit.

Recherchez la clé/le dossier de registre suivant(e) :

• Si SSL .0 apparaît dans la liste, cliquez dessus avec le bouton droit de la souris, sélectionnezNouveau-> Cléet créez un nouveau dossier appelé Serveur.
• Dans le dossierServeur, cliquez surModifier > Nouveau > DWORD(valeur 32 bits)
• Entrez «Enabled» et appuyez sur Entrée. La colonne de données doit afficher la valeur 0. Si ce n'est pas le cas, cliquez avec le bouton droit de la souris et définissez-la sur zéro.

De même, répétez les étapes pour désactiver SSL3.0 et redémarrez votre ordinateur pour que les changements soient pris en compte.

Avantages de l'automatisation des certificats TLS

L'automatisation de la gestion des certificats TLS est essentielle pour maintenir une présence en ligne sûre et fiable. Tirez parti de l'automatisation pour contrôler et mettre à jour efficacement tous vos certificats numériques :

• Réduire les erreurs manuelles et la charge de travail, en diminuant la probabilité d'erreurs et en libérant des ressources informatiques précieuses.
• Prévenez les accidents coûteux liés aux certificats TLS et évitez les pièges des temps d'arrêt.
• Adhérer sans difficulté aux protocoles de sécurité les plus récents et se tenir au courant des normes en vigueur.

Le protocoleACME (Automated Certificate Management Environment)est un élément clé pour parvenir à une automatisation efficace des certificats. ACME facilite la délivrance, le renouvellement et la révocation automatiques des certificats en rationalisant les interactions entre votre serveur web et les autorités de certification (CA). Développé à l'origine pour Let's Encrypt, ACME est désormais largement pris en charge par diverses CA et PKI . La mise en œuvre d'ACME peut considérablement améliorer la capacité de votre organisation à gérer les certificats de manière efficace et sécurisée.Pour en savoir plus sur ACME, consultez notre guide étape par étape ici.

Comme vous pouvez le constater, il est essentiel de vérifier un TLS , de s'assurer qu'il est valide et de le supprimer lorsqu'il a dépassé sa date d'expiration. Cependant, le processus impliqué est fastidieux et nécessite des connaissances techniques. Ce n'est plus le cas aujourd'hui.Les solutions de gestion et d'automatisation des certificats Keyfactorsont là pour vous aider.

Contactez-nous pour en savoir plus et découvrir les fonctionnalités utiles de Keyfactor.