Connexion
Abonnez-vous

[MàJ] Let’s Encrypt disponible chez Infomaniak : comment activer un certificat SSL/TLS gratuit

HTTPS devient enfin la norme

[MàJ] Let's Encrypt disponible chez Infomaniak : comment activer un certificat SSL/TLS gratuit

Le 06 janvier 2016 à 08h00

Comme prévu, Infomaniak vient de mettre en place sa fonctionnalité permettant d'installer simplement un certificat Let's encrypt sur ses offres d'hébergement. Chacun peut ainsi disposer d'un accès HTTPS pour son site, à moindres frais.

Comme nous le disions dans un précédent article, plusieurs hébergeurs commencent à proposer l'activation simple d'un certificat SSL/TLS à travers Let's Encrypt. Gandi et OVH s'apprêtent à proposer une telle fonctionnalité et Infomaniak nous avait indiqué que la mise en place était imminente.

Infomaniak active la mise en place de Let's Encrypt sur ses offres

Et c'est désormais le cas. Si cela n'est pas encore évoqué clairement sur le site de l'hébergeur suisse, on trouve quelques détails dans une publication de sa base de connaissances. La société précise ainsi qu'« un certificat SSL gratuit peut uniquement être établi pour les domaines dont les DNS pointent sur un hébergement Web, Classic ou sur un Serveur Cloud. Les hébergements Starter offerts avec un nom de domaine ne sont pas pris en charge ». Dommage, surtout pour un certificat gratuit. Les offres concernées sont, elles, vendues à partir de 5,75 euros par mois.

L'ancienne interface d'administration ne propose par contre pas l'option, ceux qui veulent effectuer une migration doivent regarder par là pour connaître la procédure à suivre.

Let's Encrypt Infomaniak

Nous avons donc commandé un hébergement afin de voir de quoi il en retourne. Et dans la pratique, la mise en place est effectivement assez simple. Il suffit de vous rendre dans la page de gestion de vos sites, puis de cliquer sur le domaine concerné. Dans le menu de gauche, l'option Certificat SSL vous sera proposée. Elle est indiquée comme un programme de test (beta) pour le moment.

Il vous suffit ensuite de cliquer sur Installer. Vous aurez alors trois possibilités proposées : 

  • Pas de chiffrement
  • Certificat SSL gratuit
  • Certificat SSL personnalisé

Ce dernier cas vous permettra d'installer un certificat obtenu auprès d'une autorité de certificat de votre choix, certaines en proposant gratuitement (voir notre analyse). Par défaut, un certificat autosigné sera activé, mais vous pourrez choisir d'importer le vôtre par la suite. 

Renouvellement automatique, mais redirection manuelle

Dans le second cas, le certificat sera généré par Let's Encrypt et valable pour une durée de trois mois. Les conditions d'utilisation précisent d'ailleurs que « les certificats délivrés par Let's Encrypt sont valables 90 jours et renouvelés automatiquement avant leur échéance par Infomaniak ». Vous n'aurez donc rien à faire de ce côté-là. Vous pourrez changer à tout moment d'option concernant le chiffrement en demandant à changer d'offre.

Let's Encrypt Infomaniak

Absente dans un premier temps, une redirection exploitant HSTS (HTTP Strict Transport Security) a été mise en place. Dans sa base de connaissances, l'hébergeur prévient contre quelques problèmes qui pourraient être rencontrés. Il faudra notamment faire attention aux cas de « mixed content », les navigateurs permettant désormais de détecter et corriger plus facilement ces problèmes, comme les dernières versions de Chrome par exemple.

Reste maintenant à voir comment les autres grands hébergeurs comme Gandi et OVH vont intégrer une telle procédure au sein de leurs offres et comment chacun compte se distinguer pour attirer des clients avides de mise en place aisée d'un accès sécurisé à leur site.

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Cool NXI va pouvoir passer en https pour tous ses visiteurs !

votre avatar

Il faut naviguer pas Lynx. <img data-src=" />

votre avatar

Visiblement, Vivaldi est inconscient des certificats révoqués. (ça peut valoir le coup de faire remonter ça aux devs)

Mais il affiche tout de même une indication de sécurité insuffisante. Je crois me souvenir que dans les dernières versions ils ont commencé à mettre plus de granularité dans le contrôle de sécurité des sites, plutôt que de dire “oui tout vert” et “non tout rouge”.



Firefox et Opera (sous Chromium, lui aussi) interdisent direct l’accès. Vu qu’Opera et Vivaldi ont la même base, ce doit être une config de Chromium qui n’a pas été bien faite je suppose.



Personnellement j’aurai une préférence pour l’entre-deux : un avertissement et me laisser en toute conscience (ou inconscience) choisir d’aller sur le site ou non. Ce doit être parce que je préfère l’éducation au dogme.



Néanmoins vu ce comportement, je rejoins ton avis sur le fait qu’une révocation de certificat peut-être plus radicale comme blocage.



Edit : visiblement ce doit être ma config du navigateur car sur une autre instance sous WIndows il bloque l’accès.

votre avatar

“HTTPS devient enfin la norme”




C'est marrant de lire ça sur HTTP://www.nextinpact.com   



<img data-src=" />

votre avatar

En étant abonné, on peut activer le HTTPS…

votre avatar



En étant abonné, on peut activer le HTTPS…





Ce qui pose la question: pourquoi seulement aux abonnés ?

votre avatar







127.0.0.1 a écrit :



Ce qui pose la question: pourquoi seulement aux abonnés ?







A cause des régies pub… expliqué maintes et maintes fois déjà <img data-src=" />


votre avatar







CryoGen a écrit :



A cause des régies pub… expliqué maintes et maintes fois déjà <img data-src=" />







Pourtant AdBlock fonctionne aussi avec les pages en https. <img data-src=" />


votre avatar
votre avatar
votre avatar

Vrai/Faux problème: votre site peut être en HTTPS et inclure une ressource accessible seulement en HTTP.



C’est au browser de se débrouiller avec ce “Mixed content”. Et ca restera le cas tant que vous inclurez des ressources qui sont sur autre domaine que le votre (ce qui semble être la norme du web actuel).

votre avatar







Sandeman a écrit :



Et vive la Carte Kiwi :)

&nbsp;





+1 <img data-src=" />

&nbsp;


votre avatar

Ce n’est pas un faux problème et on a déjà dit ce que l’on comptait faire (mais oui, en mode yakafokon, ça va vite ;))

votre avatar

Il me semble que les navigateurs affichent des “warnings” s’il y a du contenu non sécurisé sur des pages sécurisées non ?

votre avatar







CryoGen a écrit :



Il me semble que les navigateurs affichent des “warnings” s’il y a du contenu non sécurisé sur des pages sécurisées non ?







et dans certain cas bloque le contenu


votre avatar







David_L a écrit :



Ce n’est pas un faux problème et on a déjà dit ce que l’on comptait faire (mais oui, en mode yakafokon, ça va vite ;))



Tant que ça arrive d’ici l’année prochaine … ^^


votre avatar







John Shaft a écrit :



Il va falloir que tous ces gens changent leur logo “SSL Secured”. SSL est définitivement mort en 2015 via le RFC 7568 <img data-src=" />











Texas Ranger a écrit :



Mais carrément…







L’acronyme SSL est aussi communément utilisé pour désigner TLS. Donc même si techniquement oui, SSL n’est plus considéré comme assez sécurisé, on peut toujours parler de SSL au sens générique.


votre avatar

Ça reste un abus de langage. <img data-src=" /> Comme dire certificat SSL au lieu de X.509.

votre avatar

Et vive la Carte Kiwi :)

&nbsp;

votre avatar

Je reste dubitatif sur le nombre d’hébergeurs qui proposent une fonction qui est encore officiellement en béta…

votre avatar

Dans la mesure où c’est explicitement indiqué, comme ici sur le console de gestion, je ne vois pas où est le problème.



Le but d’une bêta est de recueillir le plus de retours en vue d’une version finale stable. Dans le cas de Let’s Encrypt, les partenariats avec des hébergeurs qui proposent d’utiliser le service à leurs clients est une excellente source de retours.

votre avatar

Certes, mais si on s’aperçoit qu’il y a un problème de sécurité, des milliers de sites pourraient être INpactés. Tu vas me dire que c’est tant pis pour ceux qui seront touchés parce qu’ils utilisent un service en béta, mais n’empêche. C’est proposé par des hébergeurs tiers, donc pas sûr que l’info soit connu par tous les utilisateurs. Un hébergeur peu scrupuleux pourrait tout-à-fait faire de grosses pubs “chez nous le HTTPS est offert !!!” et les clients pas au courant du statut de béta (avec par exemple le renouvellement à refaire dans 3 mois et non un an).



J’aurais préféré que Let’s encrypt fasse un béta fermée, avec (par exemple) un nombre d’hébergeurs restreint et des utilisateurs volontaires pour ce test, et ensuite sortir la finale dans 6 mois pour tout le monde. C’est comme ça que je conçois le béta test, évidemment qu’il faut des retours pour finaliser le service, mais pas sûr que ce soit de cette façon.

votre avatar

En l’état, dans le cas qui concerne Informaniak, les clients sont :




  • informés

  • volontaires

  • libres d’utiliser leur propre certificat



    Tout comme les certificats sont basés sur la confiance (vu qu’on parle “d’autorité de confiance” car les navigateurs modernes rejettent les certificats auto signés avec un gros message anxiogène comme il faut), ici il faut avoir confiance dans son hébergeur et dans l’autorité Let’s Encrypt.



    De base, un hébergeur peu scrupuleux ne fait pas long feu. J’en ai connu personnellement un pour avoir été client chez lui et ça a vite mal fini. (Ca doit être l’une des dernière fois de ma vie que j’ai uniquement regardé le prix comme critère de sélection.)

    Là on parle quand même de trois hébergeurs connus, et reconnus.

votre avatar







Jarodd a écrit :



Je reste dubitatif sur le nombre d’hébergeurs qui proposent une fonction qui est encore officiellement en béta…







Bah… marché concurrentiel + nouveauté =&gt; proposer la nouveauté.



Le jour où Chrome/Firefox inclura de base une techno de notification, ou de paiement, ou de signature, ou whatever, tu auras tous les hébergeurs qui incluront cette techno dans leurs offres.


votre avatar

Il y’a déjà eu une béta fermé.

Et la beta ouverte est plus pour un test de charge des serveurs je pense.

Ce n’est pas le certificat qui est en beta mais le délivrement du certificat donc non ce serait dommage de ne pas proposer cela immédiatement car c’est toujours mieux que d’être en http. Ensuite la durée de vie du certificat est courte par rapport aux autres services.

Après il est certain que les hébergeurs doivent indiquer que le service est toujours en beta.

votre avatar

Mwé pas convaincu par mettre en prod un truc beta perso.



Encore moins chez ovh.

votre avatar

Si tu mets un truc en bêta dans un autre truc en bêta forcément… <img data-src=" />



<img data-src=" />

votre avatar







SebGF a écrit :



Là on parle quand même de trois hébergeurs connus, et reconnus.





Je parlais bien sûr du principe. Aujourd’hui ceux qui le proposent sont sérieux, demain ce ne sera pas forcément le cas.









SFX-ZeuS a écrit :



Il y’a déjà eu une béta fermé.&nbsp;





Ok, j’ignorais <img data-src=" />









SFX-ZeuS a écrit :



Ce n’est pas le certificat qui est en beta mais le délivrement du

certificat

[…]

Après il est certain que les hébergeurs doivent indiquer que le service est toujours en beta.





Pas compris la différence <img data-src=" />


votre avatar







Jarodd a écrit :



Je parlais bien sûr du principe. Aujourd’hui ceux qui le proposent sont sérieux, demain ce ne sera pas forcément le cas.







Tout le fait que j’ai utilisé plusieurs fois le mot : “confiance”.



Toute la chaîne de sécurité repose sur la confiance que les intermédiaires s’accordent entre eux.


votre avatar







SebGF a écrit :



Toute la chaîne de sécurité repose sur la confiance que les intermédiaires s’accordent entre eux.







Ca repose surtout sur l’inclusion des Root Certificate dans les browser web, qui dans ce cas affichent glorieusement le cadenas sans poser de question anxiogène a l’utilisateur.



Pour Let’s Encrypt, ca signifie l’inclusion de ISRG Root X1 dans Chrome et autres. Et en attendant, ils ont pris soin d’avoir un Cross Signing avec un autre Root Certificate déjà intégré (IdenTrust).



–&gt;https://letsencrypt.org/certificates


votre avatar







127.0.0.1 a écrit :



Ca repose surtout sur l’inclusion des Root Certificate dans les browser web, qui dans ce cas affichent glorieusement le cadenas sans poser de question anxiogène a l’utilisateur.



Pour Let’s Encrypt, ca signifie l’inclusion de ISRG Root X1 dans Chrome et autres. Et en attendant, ils ont pris soin d’avoir un Cross Signing avec un autre Root Certificate déjà intégré (IdenTrust).



–&gt;https://letsencrypt.org/certificates







C’est le côté désolant de cette histoire, d’où le fait que je critiquais ce rejet des “auto signés” avec le message anxiogène derrière…

Surtout que les autorités qui se sont fait pirater et détourner leurs clés, c’est déjà arrivé…



C’est con que le navigateur casse lui-même la chaîne de confiance en imposant ses propres choix à l’utilisateur, rassuré par la présence du petit cadenas…


votre avatar







SebGF a écrit :



C’est le côté désolant de cette histoire, d’où le fait que je critiquais ce rejet des “auto signés” avec le message anxiogène derrière…

Surtout que les autorités qui se sont fait pirater et détourner leurs clés, c’est déjà arrivé…



C’est con que le navigateur casse lui-même la chaîne de confiance en imposant ses propres choix à l’utilisateur, rassuré par la présence du petit cadenas…







Sans compter que cela crée un système pyramidal centré autour des autorité de certification (browser/OCSP/CA), a l’instar de ce qu’on a déjà avec les DNS (browser/query/DNS).



Pour les DNS, heureusement, il existe des DNS alternatifs qui permettent de contourner les blocages (volontaires ou non) du DNS par défaut du fournisseur d’accès.



Pour les autorités de certification, par définition, on ne peut pas en utiliser un autre. Cela signifie qu’un blocage a ce niveau est très difficile a contourner, d’autant plus que les browsers empêchent justement le contournement (pour des raisons de sécurité).



Par exemple, ce site web: https://revoked.grc.com est censé afficher le texte suivant:





Security Certificate Revocation Awareness Test

If you can see this (and apparently you can), youare using a revocation UNaware web browser!





Mais je parie qu’il vous sera assez difficile (ou meme impossible) de voir ce texte car votre browser interdira l’accès au site.



De là à imaginer que les futurs demandes de blocage ne concernent pas que les DNS… <img data-src=" />


votre avatar

La newsletter de Dreamhost de ce mois-ci indique aussi la mise en place gratuite de Let’s Encrypt pour ceux que cela intéresse.

votre avatar

Est-ce valable pour des sous domaines ?

Car Infomaniak permet de les créer en deux clics et j’en utilise deux sur mon site, j’apprécierais de pouvoir les conserver.

votre avatar

Il va falloir que tous ces gens changent leur logo “SSL Secured”. SSL est définitivement mort en 2015 via le RFC 7568 <img data-src=" />

votre avatar







John Shaft a écrit :



Il va falloir que tous ces gens changent leur logo “SSL Secured”. SSL est définitivement mort en 2015 via le RFC 7568 <img data-src=" />





Mais carrément…


votre avatar







John Shaft a écrit :



Si tu mets un truc en bêta dans un autre truc en bêta forcément… <img data-src=" />



<img data-src=" />







Tellement d’accord.

Je vois que toi aussi tu as eu affaire à ovh.


votre avatar

Ouai enfin la seule régie de pub qui apparaît dans les requêtes de cette page est ads.horyzon-media.com qui est chargé en https par https everywhere, la moitié des contenus de cdn.nextinpact.com et cdn2.nextinpact.com sont aussi chargés en https, ça me porterait a croire que ça ne bloque que au niveau de www.nextinpact.com.



édit: mais je comprends&nbsp; “l’inquiétude” si dans un futur plus ou moins proche nextinpact veut utiliser une régie qui ne supporte pas https

votre avatar

Oui, surement. Et on peut configurer le browser pour accepter le Mixed content sur nxi.com



Tout comme mon browser (comme beaucoup d’autre) n’affiche pas les pubs depuis que j’ai installé AdBlock. Mais c’est également configurable pour accepter les pubs sur nxi.com.



Tout comme mon browser n’affiche pas les popups, les trackers, le javascript, les videos flash/mp4/webm ou whatever depuis que j’ai installé l’extension xyz ou coher l’option abc dans la config. Comme beaucoup d’autre. Mais c’est également configurable pour accepter cela sur nxi.com.



etc.



C’est pour cela que je trouve un faux problème de se poser seulement la question de l’universalité de l’affichage des éléments du site seulement pour le cas particulier “horizon-media + HTTPS”

votre avatar

Pour information, HSTS est désormais activé par défaut lors de la mise en place d’un certificat SSL chez Infomaniak.

[MàJ] Let’s Encrypt disponible chez Infomaniak : comment activer un certificat SSL/TLS gratuit

  • Infomaniak active la mise en place de Let's Encrypt sur ses offres

  • Renouvellement automatique, mais redirection manuelle

Fermer