Chers membres,
Afin de sécuriser son nouveau serveur et ses services, pour rendre difficile sinon impossible l’écoute des connexions, l’association a décidé de mettre en place un certificat serveur SSL/TLS, signature numérique certifiant qu’elle est propriétaire de ses domaines.
Pour cela, l’association Caliban va rejoindre la communauté CACert en la désignant comme son Autorité de certification.
CACert est une association dont le but est de créer une Autorité de Certification racine à but non lucratif, une alternative aux AC commerciales. Pas encore reconnue par tous, ses certificats racine ne sont malheureusement pas installés actuellement dans les navigateurs principaux (Firefox, IE, Safari, Chrome), car elle n’a pas, à ce jour, la confiance juridique d’une véritable AC. Toutefois, cette autorité prend de plus en plus d’envergure dans le monde du libre. Depuis mars 2007, des OS tels que Debian, Ubuntu, OpenBSD et d’autres ont même ajouté les certificats racines de CACert dans leur paquet ca-certificates.
Il vous faudra donc ajouer vous-même le certificat racine CACert sur vos machines pour que les certificats émis par CACert soient reconnus par vos services internet. Sans cela, vous risquez de voir apparaître un message d’alerte du type : Le certificat de sécurité présenté par ce site Web n’a pas été émis par une autorité de certification approuvée. Ou déclarant que vous êtes peut être victime d’une tentative de duperie ou d’interception des données.
Nous anticipons donc ce problème en vous prévenant longtemps avant la mise en place de ce certificat et en vous indiquant comment y faire face.
Donc comment faire ? C’est une procédure simple et rapide, enfin selon les navigateurs…
Allez sur le site de CACert : https://www.cacert.org/index.php?id=3.
Vous aurez peut être un message d’alerte . Si c’est le cas, cliquez sur « poursuivre avec ce site » (ou tout lien qui vous permettra d’accèder à la page de CACert).
Puis cliquez sur les liens certificats racines (format PEM ou DER) puis certificats intermédiaires (format PEM ou DER). A chaque clic correspond un ajout du certificat dans le magasin des certificats reconnus par le navigateur. Si vous utilisez plusieurs navigateurs, normalement ils partagent les mêmes magasins de certificats. Il n’y aura donc rien à faire. Mais si ce n’est pas le cas vous aurez un message d’alerte. Il vous faudra alors refaire cette manipulation pour le navigateur qui aura affiché le message.
- Sous Firefox :
Une boite de dialogue s’affichera pour effectuer l’ajout des certificats dans le magasin des certificats reconnus par le navigateur.
- Sous Chrome et Internet Explorer:
Le certificat sera téléchargé et apparaîtra en bas du navigateur. Vous devrez cliquer dessus pour l’ouvrir..
puis cliquer sur « installer le certificat » et suivre les instructions de l’assistant…
Attention, il vous faudra préciser dans le magasin de destination du certificat en cours d’installation. Pour le certificat racine ce sera « Autorités de certification racines de confiance » et pour le certificat intermédiaire » Autorités de certification intermédiaire ».
L’équipe Caliban
Merci pour ce complément d’informations, c’est intéressant. Bon boulot !
27 juillet 2012 à 10 h 13 min
Je pense que tu n’as pas compris le principe des autorités de certification.
Le HTTPS utilise le protocole SSL pour chiffrer les données entre un client et un serveur. C’est de là que provient le « S » de HTTPS. Cela revient à dire « utiliser le protocole HTTP par dessus une couche de SSL ».
En soit, le SSL permet donc de garantir que personne d’autre que la machine concernée ne puisse lire les données échangées. Cependant, comment savoir si le serveur distant est bien celui qu’il prétend être ? Il est très facile de détourner le traffic d’un réseau et de s’interposer dans les communications en se faisant passer pour une autre machine, par spoofing DNS par exemple. Imagine que je me fasse passer pour le site de ta banque, nos échanges vont se faire en HTTPS, donc sécurisés, mais je ne suis pas la personne que je prétends être. Je vais donc récupérer toutes les informations que tu vas me transmettre malgré le canal sécurisé.
Pour résoudre ce problème, la norme HTTPS a intégré l’utilisation de certificats X509 ainsi sein ses échanges. L’idée est que chaque serveur utilise un certificat qui lui est propre, ce qui va permettre de l’identifier de façon unique. Chaque certificat doit être signé par une autorité de confiance. C’est à dire qu’une entité tierce va signer le certificat du serveur pour dire aux autres machines qu’elle approuve ce dernier. Le système du HTTPS repose donc sur le principe d’un réseau de confiance.
Pour en revenir à la migration du serveur de Caliban, nous allons utiliser une nouvelle architecture qui va permettre aux membres de s’authentifier avec un compte unique à l’ensemble des applications proposées. Donc dans un avenir proche, un seul compte suffira pour accèder au Cube, au forum, au wiki … et sans devoir se réauthentifier à chaque fois (cf : Single Sign On). Pour renforcer la sécurité de nos services, du HTTPS va être utilisé à des endroits stratégiques, d’où l’article de Multivac.
Pour pouvoir utiliser du HTTPS, nous sommes obligés de faire signer notre certificat par une autorité de confiance. Il est possible de se définir nous même comme autorité de certification, mais comme nous ne sommes pas connus en tant que telle, aucun navigateur ne va permettre la connexion sans afficher un message d’avertissement plutôt désagréable. La solution la plus simple est d’acheter un certificat SSL (en réalité, on paye le fait qu’ils signent notre certificat), mais les prix pour un certificat de type wildcard sont de l’ordre de plusieurs centaines d’euros …
Donc notre solution est de faire signer notre certificat par l’autorité de certification CA Cert qui est une association comme nous qui pense que sécuriser nos données sur internet ne doit pas être une question d’argent. Cependant, cette autorité n’est pas reconnue par défaut sous tous les systèmes d’exploitation. C’est pour cette raison qu’il est nécessaire que vous ajoutiez CA Cert en tant qu’autorité de confiance dans vos navigateurs pour ne pas avoir un message d’avertissement à chaque connexion.
Pour résumer, ce n’est pas une obligation, rien ne peut vous empêcher d’accèder au Cube même sans ajouter CA Cert en tant qu’autorité de confiance. Cependant, nous sommes obligés de faire signer notre certificat par une quelconque autorité de certification car c’est dans le standard du HTTPS. De plus, nous n’avons pas plusieurs centaines d’euros à dépenser dans l’achat d’un certificat SSL. CA Cert est une association qui a des principes qui nous correspondent, d’où notre choix. L’ajout de CA Cert en tant qu’autorité de confiance n’est qu’un confort supplémentaire car elle n’est pas reconnue par défaut sous Windows.
J’espère que ce long exposé aura répondu à l’ensemble de vos questions.
23 juillet 2012 à 2 h 12 min
Moi pas comprendre (j’ai le cerveau lent) : il faudra obligatoirement installer un truc (un certificat) pour accéder à Cubernetes?? Ca veut dire que Cubernetes deviendra « fermé »? Quel est l’intérêt? Pour un site « stratégique » d’une banque ou de commerce en ligne, je comprends l’intérêt de la « certification », mais là on est sur un blog d’amateurs, c’est tout. De quoi avez-vous peur? De Phishing de Cubernetes??? Qui amuserai à faire ça, et dans quel intérêt?
22 juillet 2012 à 17 h 23 min
Content de voir que vous partez vers des solutions libres.
18 juillet 2012 à 8 h 51 min