Foire aux questions SSL

Nous avons collecté un certain nombre de questions courantes sur les certificats SSL. Si vous avez du mal à faire fonctionner un certificat SSL, vous trouverez peut être la réponse ici. Sinon, passez par le support technique qui vous fournira la réponse adéquate.













Qu'est-ce qu'un certificat SSL ?

SSL est un acronyme anglais signifiant « Secure Sockets Layer ». Un certificat SSL est un fichier qui s'installe sur un serveur qui permet entre autres :

  • d'authentifier le serveur du fait de la validation faite par l'autorité de certification (Gandi)
  • de sécuriser l'envoi et l'intégrité des données entre le visiteur du site et le serveur.

Lorsque vous choisissez d'activer un certificat SSL sur votre serveur, vous devrez répondre à une série de questions pour justifier de l'identité de votre site et de votre société. Votre serveur web créera alors 2 clés numériques cryptées, une privée et une publique.

La clé privée (format .key) reste secrète et vous ne devez la divulguer à personne.

La clé publique est, quant à elle, donnée dans ce qu'on appelle une CSR (Certificate Signing Request, format .csr) qui est une suite de caractères contenant vos informations.

Cette CSR sera à fournir lors de la génération de votre certificat Gandi.

En tant qu'autorité, Gandi validera, après vérification, votre certificat auprès des navigateurs Web qui reconnaitront alors votre certificat, résultant l'établissement d'une connexion cryptée entre votre ordinateur et le serveur contenant le service (site web, messagerie, …).

L'installation d'un certificat SSL sur un serveur demande un accès aux droits root. Vous ne pourrez donc pas installer celui-ci sur un serveur Gandi en mode AI sans récupérer les droits super-utilisateur.

Principes et fonctionnement d'un certificat SSL

La sécurisation SSL fonctionne par l’utilisation d'un système de chiffrement asymétrique (clé principale) et symétrique (clés de session pour chiffrer les données) et d'un système cryptographique des messages (vérifié par signature que le message n’est pas corrompu). Le certificat SSL permet un échange de clés entre le client et le serveur d’applications.

Une liste des certificats émis ou révoqués ( CRL- Certificate Revocation List) est publiquement accessible.

Le partage et la mise à jour de cette base de données sont confiés principalement aux autorités de certification (« AC») comme Gandi, qui fournit notamment un accès à cette base sur son site web à l'adresse http://www.gandi.net

Cette liste est utilisée par les navigateurs Web pour vous afficher la présence et la validité d'un certificat.

Sur Internet, vous naviguez sur les sites non-sécurisés par HTTP (dans la barre d'adresse du navigateur), avec un serveur le supportant, vous pouvez aussi naviguer de façon sécurisée en protocole HTTPS :

Gandi non-sécurisé : http://www.gandi.net

Gandi sécurisé : https://www.gandi.net

Qu'est-ce qu'une autorité de certification ?

Une autorité de certification (souvent notée CA pour Certification Authority) est chargée de délivrer et d'assigner un certificat liant un domaine (et certains sous-domaines) à un propriétaire. Elle est aussi chargée de leur assigner une date de validité (péremption) et de maintenir les certificats révoqués ou expirés.

Gandi est une autorité de certification depuis fin 2008. Nous signons ainsi numériquement chaque certificat émis.

Les navigateurs contiennent une liste des autorités de certification de confiance. Lors d'une connexion SSL, le navigateur vérifie alors que le certificat du serveur a été émis par une autorité de certification digne de confiance.

Gandi CA est reconnue par plus de 99% des navigateurs internet.

Comment spécifier le sous-domaine pour un certificat SSL "Une adresse" ?

L'adresse du sous-domaine doit être spécifiée lors de la création de la CSR. Elle devra être entrée dans la ligne Common Name (CN) :

Common Name (eg, YOUR name) []: sous-domaine.example.com

Lors de la soumission de votre CSR, vous verrez apparaitre dans le champ situé juste en dessous la valeur que vous avez mise, afin de pouvoir vérifier.

Dans le cas où vous protégez un nom de domaine sans sous-domaine, le 'www' sera automatiquement attribué en plus du domaine racine. Ex.: si je créé ma CSR avec en CN l'adresse 'mondomaine.fr', alors je protègerais également 'www.mondomaine.fr'.

Quelle application de generation CSR choisir dans la liste ?

Lorsque vous enregistrez votre CSR auprès de Gandi, il vous est demandé de spécifier quelle application vous avez utilisé pour créer celle-ci :

Pour toutes les CSR créées avec OpenSSL (comme dans notre tutoriel donc), vous devrez choisir le mod Apache/ModSSL dans la liste.

Comment sécuriser tout sous-domaine de second niveau *.toto.domaine.tld

Il s'agit ici de sécuriser, par exemple, *.toto.domaine.tld.

Afin de pouvoir sécuriser toutes adresses situées au niveau X d'un domaine, il vous faut acheter un certificat de type Wildcard (également appelé Multi-adresses). Ces certificats sont disponibles dans la gamme Standard et Pro uniquement.

C'est la CSR qui va faire le reste. Générez alors votre CSR en précisant *.toto.domaine.tld comme CN (Comon Name).

les autres niveaux du domaine ne sont pas couverts avec le Wildcard. En reprenant l'exemple donné plus haut, si vous mettez *.toto.domaine.tld, vous protégerez bien admin.toto.domaine.tld par exemple, mais pas admin.toto2.toto.domaine.tld

Comment créer l'enregistrement dans le zone Gandi pour validation par DNS

Comment obtenir un certificat SSL gratuit sur son domaine

Gandi inclut une première année gratuite de certificat SSL standard “une adresse” avec l'achat ou le transfert. d'un nom de domaine chez Gandi.

L'obtention du droit de créer un certificat vous est délivrée automatiquement une quinzaine de minutes après la réalisation effective de votre commande de domaine (transfert ou création).
Lorsque vous arriverez sur la page de Récapitulatif de commande, le système vérifiera que le domaine dans la CSR correspond bien à l'un de vos domaines chez Gandi et qu'il n'existe pas déjà un certificat de ce type sur celui-ci. Si toutes ces conditions sont remplies, le panier d'achat passera à 0.00 €.

La date de début de l'année de gratuité commence au jour de l'émission du certificat.

L'installation d'un Certificat demande un accès aux droits root. Vous ne pourrez donc pas installer celui-ci sur une GandiAI directement sans relâcher les droits.

Combien de serveurs peuvent être sécurisés avec un certificat ?

Le certificat est délivré pour un ou plusieurs domaines mais n'est pas lié à l'adresse IP du serveur qui héberge le service sécurisé.

Si votre service doit être hébergé sur plusieurs serveurs, un seul certificat est nécessaire, à partir du moment où le domaine et son sous-domaine sont liés au bon service.

Des erreurs de certificats apparaitront dans le cas contraire.

A quoi correspond la garantie financière sur un certificat ?

Dans le but de protéger l'utilisateur final, vous avez la possibilité, à partir de l'offre Pro, de souscrire à une assurance en cas de faille de sécurité du certificat.

Celle-ci couvrira une éventuelle perte d'argent du client final.

Cette sécurité, qui peut être affichée via notre logo de certification disponible, permet à vos clients d'avoir l'assurance d'une transaction sécurisée garantie.

Elle vous permet, en rassurant vos clients, d'effectuer plus de transactions que sur un certificat sans garanties.

Quelle est la méthode de chiffrement des certificats ?

Les certificats Gandi utilisent la signature SHA2 avec chiffrement RSA.

A compter de 2016, plus aucun certificat ne sera émis en SHA1, même si la CSR utilisée est en SHA1.

Attention, ceci ne concerne que le certificat en lui-même et non l'ensemble CSR / clé privé, ainsi que la négociation serveur/client.

Quels documents fournir pour la vérification de mon identité ou de ma société ?

Comment obtenir le certificat intermédiaire Gandi

Il est nécessaire, afin que votre certificat soit reconnu comme émis par une autorité de certification approuvée, de récupérer le certificat intermédiaire fourni par Gandi.

Le certificat intermédiaire Gandi est téléchargeable depuis la page de gestion des certificats SSL de votre compte, ou la page de documentation. Une fois sur cette page, cliquez sur l'icône “Récupérer un certificat” en face du certificat concerné. Dans la partie “Récupérer l'autorité de certification opérationnelle”, cliquez ensuite sur le bouton “AC Gandi” pour récupérer le certificat intermédiaire.

Pour chaque type de certificat SSL (Standard, Pro, Pro avec option SGC, Business…) le certificat intermédiaire sera différent. Veillez donc à toujours utiliser le certificat intermédiaire correspondant à votre type de certificat SSL.

Puis-je utiliser mon certificat SSL Gandi avec BaseKit/SiteMaker? Simple Hosting ?

Note: Pour installer un certificat sur un serveur, il faut disposer des droits root, or, BaseKit, SiteMaker, et les serveurs Gandi AI ne sont pas accessible en root, vous ne pourrez pas, par conséquent, installer de certificat pour ces produits. Vous pourrez installer des certificats SSL sur des instances Simple Hosting de taille M ou supérieure.

Est-ce que Gandi supporte les certificats de type SAN ?

Oui, ce sont les certificats appelés 'multidomaines'. Ils sont disponibles pour les type Standards et Business (EV). Pas pour les certificats Pro. Vous aurez à définir le domaine principal dans la CSR, et vous pourrez spécifier les domaines supplémentaire via notre interface durant le processus de commande.

A noter que vous pouvez modifier les “alternatives names” ou domaines supplémentaires en regénérant le certificat. Cela signifie que vous pourrez ajouter des domaines ou sous domaines une fois le certificat émis.

Par défaut, le domaine alternatif “www.[comon name]” est ajouté aux certificats “une adresse”. Pour les certificats multiadresses, il est nécessaire de spécifier tous les domaines alternatifs souhaités : il n'y a pas de 'www' par défaut.

Dernière modification: le 11/08/2016 à 11:33 par Nicolas C. (Gandi)