Créer un certificat SSL/TLS avec Certbot et activer HTTPS

Dans cet article nous allons voir comment créer des certificats SSL/TLS pour sécuriser la connexion à votre site avec HTTPS. Pour cela nous allons utiliser un petit utilitaire très pratique, Certbot. Il va servir à créer un certificat gratuit valable 3 mois avec Let’s Encrypt.

Notez que je parle de certificats SSL mais c’est uniquement parce que c’est entré dans le langage commun. Si on veut être précis, nous utilisons des certificats TLS

Installation de Certbot

Si on suit la documentation officielle, nous devons installer le gestionnaire paquets snap pour installer Certbot. Cependant nous allons utiliser apt.

Pour installer Certbot seul (Ça n’a pas vraiment d’intérêt)

sudo apt install certbot

Pour installer Certbot avec le plugin Apache

sudo apt install certbot python3-certbot-apache

Pour installer Certbot avec le plugin Nginx

sudo apt install certbot python3-certbot-nginx

C’est tout pour l’installation ! On peut maintenant créer nos certificats

Générer un certificat sur Nginx et Apache

Personnellement j’utilise des certificats 4096 bits, j’ajoute donc rsa-key-size. Pour les créer, rien de plus simple

Pour Nginx

certbot certonly --rsa-key-size 4096 --nginx

Pour Apache

certbot certonly --rsa-key-size 4096 --apache

Lors de la première utilisation quelques questions vous seront posées

debian@debian:~$ sudo certbot certonly --rsa-key-size 4096 --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): votre@mail.tld
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: yes

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: no
Account registered.
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): votresite.com www.votresite.com

Si vous avez déjà des domaines actifs, une liste sera affichée

Dans ce cas, il vous suffit d’indiquer le numéro correspondant. Ici, 1 et 4

N’oubliez pas d’ajouter la version avec www. Un mail vous sera envoyé par Let’s Encrypt lorsque votre certificat approchera de l’expiration.

Par défaut les certificats se trouvent ici /etc/letsencrypt/live/

Mettre à jour le Virtual Host sur Nginx

Nous pouvons demander à Certbot d’ajouter lui même le certificat créé à notre vHost, mais comme je préfère avoir quelque chose de propre je le fais manuellement. Nous allons donc éditer notre virtualhost

sudo nano /etc/nginx/sites-available/votresite

On commence par modifier le bloc http sur le port 80 pour faire une redirection automatique vers https, sur le port 443 pour que ça ressemble à ça

server {
    listen 80;
    listen [::]:80;
    server_name votresite.com www.votresite.com; 
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name votresite.com www.votresite.com;
    root /path/to/votresite;
    index index.html index.htm index.php;

    # SSL Cerbot
    ssl_certificate /etc/letsencrypt/live/VOTREDOMAINE/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/VOTREDOMAINE/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

}

Remplacez bien VOTREDOMAINE

On check qu’il n’y a pas d’erreur et on redémarre Nginx

sudo nginx -t
sudo systemctl restart nginx

Vous pouvez maintenant accéder à votre site via https. Cependant ce n’est pas encore tout à fait fini. Pour répondre aux derniers standards de sécurité nous avons encore quelques modifications à faire. Pour Nginx c’est tout de suite, pour aller directement à Apache c’est par ici

Modification de la configuration TLS Nginx

Dans un premier temps nous allons indiquer dans le fichier de configuration de Nginx qu’il peut accepter TLSv1.2 et TLSv1.3

sudo nano /etc/nginx/nginx.conf  

Nous allons maintenant éditer la ligne qui contient ssl_protocols et passer ssl_prefer_server_ciphers sur off

Les protocoles TLS 1 et 1.1 étant dépréciés, nous n’allons pas les accepter.

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;

Comme vous avez peut-être remarqué, nous appelons /etc/letsencrypt/options-ssl-nginx.conf; dans notre virtualhost. Nous effectuer les mêmes modifications dans ce fichier

sudo nano /etc/letsencrypt/options-ssl-nginx.conf;

Une fois les modifications faites, on vérifie qu’il n’y a pas d’erreurs et on relance Nginx

sudo nginx -t
sudo systemctl restart nginx

Il ne vous rester plus qu’à activer le HSTS ou passer à la vérification (à noter que sans HSTS vous n’aurez pas la meilleure note possible sur ssllabs)

Mettre à jour le Virtual Host sur Apache

On édite le virtualhost

sudo nano /etc/apache2/sites-enabled/votresite

On ajoute une redirection automatique du port 80 vers le port 443, les chemins vers les certificats les options SSL pour Apache

<VirtualHost *:80>
    ServerName votresite.com
    ServerAlias www.votresite.com
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    ServerName votresite.com
    ServerAlias www.votresite.com
    DocumentRoot "/path/to/votresite"

    SSLEngine on
    SSLCertificateFile      /etc/letsencrypt/live/VOTREDOMAINE/fullchain.pem;
    SSLCertificateKeyFile   /etc/letsencrypt/live/VOTREDOMAINE/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

Modification de la configuration TLS Apache2

Comme pour Nginx, allons modifier quelques options de configuration, notamment pour n’accepter que le TLSv1.2 et le TLSv1.3

sudo nano /etc/letsencrypt/options-ssl-apache.conf

Nous allons modifier la ligne SSLProtocol pour qu’elle ressemble à celle qui suit. Si votre version d’Apache et 2.4.38 ou supérieure, vous pouvez activer la version 1.3 du protocole TLS

SSLProtocol -all +TLSv1.2 +TLSv1.3

On vérifie la syntaxe puis on redémarre si tout va bien

sudo apachectl -t
sudo systemctl restart apache2

C’est tout bon. Il ne vous reste plus qu’à activer l’HSTS si vous la souhaitez !

Activer le HSTS

Qu’est-ce-que le HSTS ?

HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu’il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l’agent utilisateur par le serveur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l’agent utilisateur doit accéder au Serveur informatique uniquement de façon sécurisée.

Wikipedia

Si vous souhaitez ajouter le HSTS, vous devez ajouter ce header avant ou après les certificats dans votre vHost. A vous de voir comment vous souhaitez organiser le fichier. À noter que pour avoir la note maximum sur ssllabs, avoir HSTS activé est obligatoire.

Pour Nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Pour Apache

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Pour activer le HSTS preloading, il est important de bien préciser la directive preload lorsque l’on met en place HSTS. Ensuite, il convient de s’inscrire sur la liste officielle pour que cela soit effectif. Pour tester son éligibilité et demander son enregistrement sur la liste HSTS preloading, cela se passe ici.

Petit bonus avec le CAA (Certification Authority Authorization)

C’est un enregistrement DNS qui permet de déclarer quelle autorité est autorisée à délivrer un certificat SSL pour notre site. Pour ce faire, rendez-vous sur l’interface d’administration de votre domaine chez votre registrar pour ajouter un une entrée CAA

votredomaine.com.                        IN        CAA        0        issue        "letsencrypt.org" 

C’est tout !

Vérification de la configuration

Nous allons maintenant vérifier notre configuration avec ssllabs. Voici mon résultat

Votre site possède maintenant une configuration HTTPS moderne qui respecte les standards actuels ! Si vous souhaitez gagner en performances, je vous invite à aller voir comment activer le Brotli sur Nginx !