{"id":3361,"date":"2020-05-14T14:14:00","date_gmt":"2020-05-14T12:14:00","guid":{"rendered":"https:\/\/blog.alwaysdata.com\/?p=3361"},"modified":"2020-05-14T11:31:32","modified_gmt":"2020-05-14T09:31:32","slug":"api-lets-encrypt-v2-un-cert-pour-les-securiser-tous","status":"publish","type":"post","link":"https:\/\/blog.alwaysdata.com\/fr\/2020\/05\/14\/api-lets-encrypt-v2-un-cert-pour-les-securiser-tous\/","title":{"rendered":"API Let\u2019s Encrypt v2&nbsp;: Un CERT pour les s\u00e9curiser tous"},"content":{"rendered":"<p>Le Web est un espace important \u00e0&nbsp;prot\u00e9ger&nbsp;: une grande partie du temps que nous passons en ligne implique le partage d\u2019informations personnelles. Nous ne pouvons pas laisser toutes ces donn\u00e9es exister sur l\u2019internet sans les s\u00e9curiser, au risque de les exposer \u00e0&nbsp;des attaques. La vie priv\u00e9e est l\u2019une des choses <a href=\"https:\/\/blog.alwaysdata.com\/fr\/2018\/01\/28\/pourquoi-la-vie-privee-est-elle-importante\/\">les plus pr\u00e9cieuses que nous poss\u00e9dons tous<\/a>.<\/p>\n<figure class=\"embed-media__giphy\" style=\"width:65%; padding-bottom:calc(65% * (233 + 12) \/ (453 + 12))\">\n    <video id=\"giphy-${token}\" autoplay loop muted playsinline>\n        <source src=\"https:\/\/media.giphy.com\/media\/NYcw9MzulWYve\/giphy.mp4\" type=\"video\/mp4\">\n        <img decoding=\"async\" src=\"https:\/\/media.giphy.com\/media\/NYcw9MzulWYve\/giphy.gif\" alt=\" @Giphy\">\n    <\/video>\n<\/figure>\n<h2 id=\"s\u00e9curiser-le-web-pour-tous-une-histoire-de-vie-priv\u00e9e\">S\u00e9curiser le Web pour tous&nbsp;: une histoire de vie priv\u00e9e<\/h2>\n<p>Il y&nbsp;a quatre ans, la s\u00e9curisation des connexions entre un client et un serveur \u00e9tait r\u00e9serv\u00e9e \u00e0&nbsp;qui savait la mettre en place&nbsp;: il fallait g\u00e9n\u00e9rer un CSR <span class=\"footnote_referrer\"><a role=\"button\" tabindex=\"0\" onclick=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_1');\" onkeypress=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_1');\"><sup id=\"footnote_plugin_tooltip_3361_1_1\" class=\"footnote_plugin_tooltip_text\">1)<\/sup><\/a><span id=\"footnote_plugin_tooltip_text_3361_1_1\" class=\"footnote_tooltip\"><\/span><\/span> pour votre service, le soumettre \u00e0&nbsp;une autorit\u00e9, l\u2019installer sur votre serveur\u2026 et payer chaque ann\u00e9e pour le renouveler (\u00e0 un co\u00fbt parfois \u00e9lev\u00e9 !). Ainsi, la s\u00e9curisation du Web n\u2019\u00e9tait pas ouverte \u00e0&nbsp;tous.<\/p>\n<p>Cette situation n\u2019\u00e9tait confortable pour personne&nbsp;: les \u00e9diteurs de sites Web voulaient un meilleur moyen de prot\u00e9ger les transferts de donn\u00e9es de leurs utilisateurs, et les utilisateurs avaient besoin d\u2019une meilleure protection de leur vie priv\u00e9e.<\/p>\n<p>C\u2019est pourquoi l\u2019<em><a href=\"https:\/\/www.abetterinternet.org\/\">Internet Security Research Group<\/a><\/em> a&nbsp;lanc\u00e9 une initiative r\u00e9volutionnaire&nbsp;: offrir des certificats \u00e9mis par une autorit\u00e9 CERT \u00e0&nbsp;but non lucratif, lui permettant de d\u00e9livrer ces certificats gratuitement. La s\u00e9curisation d\u2019une majeure partie de l\u2019internet sans surco\u00fbt devenait possible&nbsp;!<\/p>\n<p>En tant que fournisseur <em>PaaS<\/em> \/ <em>Cloud<\/em>, nous avons \u00e9t\u00e9 <a href=\"https:\/\/certbot.eff.org\/hosting_providers\/\">l\u2019un des premiers \u00e0&nbsp;int\u00e9grer cette API d\u2019enregistrements de certificats<\/a> \u00e0&nbsp;notre plateforme, ce qui nous a&nbsp;permis de g\u00e9n\u00e9rer gratuitement un certificat SSL \/ TLS pour chacun de vos (sous-)domaines.<\/p>\n<h2 id=\"v2-quand-les-choses-deviennent-s\u00e9rieuses\">v2&nbsp;: Quand les choses deviennent s\u00e9rieuses<\/h2>\n<p>Un grand pouvoir implique de grandes responsabilit\u00e9s. Pour \u00e9viter des attaques graves et limiter le risque de devenir un <em>SPOF<\/em> <span class=\"footnote_referrer\"><a role=\"button\" tabindex=\"0\" onclick=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_2');\" onkeypress=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_2');\"><sup id=\"footnote_plugin_tooltip_3361_1_2\" class=\"footnote_plugin_tooltip_text\">2)<\/sup><\/a><span id=\"footnote_plugin_tooltip_text_3361_1_2\" class=\"footnote_tooltip\"><\/span><\/span>, <a href=\"https:\/\/letsencrypt.org\/\"><em>Let\u2019s Encrypt<\/em><\/a> a&nbsp;rapidement mis des limites \u00e0&nbsp;son API et \u00e0&nbsp;l\u2019utilisation de ses certificats.<\/p>\n<p>Jusqu\u2019\u00e0 la sortie de la version 2, vous deviez \u00e9mettre un certificat pour chaque sous-domaine dont vous aviez explicitement besoin. Parce que nous sommes une plateforme h\u00e9bergeant de nombreux sites, nous soumettons une <em>\u00e9norme<\/em> quantit\u00e9 de requ\u00eates de certificats \u00e0&nbsp;l\u2019API de <em>Let\u2019s Encrypt<\/em> quotidiennement. Jusqu\u2019ici, nous avons pu travailler avec <em>LE<\/em> et ses limites pour fournir vos certificats de fa\u00e7on transparente. Gr\u00e2ce \u00e0&nbsp;cette nouvelle API, nous sommes maintenant autoris\u00e9s \u00e0&nbsp;demander \u00e9galement des certificats <strong>wildcard<\/strong>&nbsp;! Cela signifie que nous pouvons d\u00e9sormais ne d\u00e9livrer qu\u2019<em>un<\/em> certificat pour s\u00e9curiser tous les sous-domaines d\u2019un domaine.<\/p>\n<p>Voici comment nous avons choisi de le faire fonctionner chez alwaysdata&nbsp;:<\/p>\n<ol type=\"1\">\n<li>Chaque fois que vous ajoutez un nouveau sous-domaine en ajoutant un site \/ service derri\u00e8re une nouvelle URL, nous g\u00e9n\u00e9rons gratuitement un certificat <em>LE<\/em> pour ce sous-domaine,<\/li>\n<li>\u00c0 partir du 20<sup>e<\/sup> <span class=\"footnote_referrer\"><a role=\"button\" tabindex=\"0\" onclick=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_3');\" onkeypress=\"footnote_moveToReference_3361_1('footnote_plugin_reference_3361_1_3');\"><sup id=\"footnote_plugin_tooltip_3361_1_3\" class=\"footnote_plugin_tooltip_text\">3)<\/sup><\/a><span id=\"footnote_plugin_tooltip_text_3361_1_3\" class=\"footnote_tooltip\"><\/span><\/span> site ajout\u00e9, nous basculons automatiquement vers un certificat <em>wildcard<\/em> qui couvrira le 20<sup>e<\/sup> site et tous les sites suivants (les 19 premiers utilisent toujours les&nbsp;leurs),<\/li>\n<li>Vous pouvez \u00e9mettre un certificat <em>wildcard<\/em> \u00e0&nbsp;tout moment, depuis votre panneau d\u2019administration dans la section <em>Avanc\u00e9 &gt; Certificats SSL<\/em>, en <a href=\"https:\/\/help.alwaysdata.com\/fr\/s%C3%A9curit%C3%A9\/ssl-tls\/certificats-lets-encrypt\/\">ajoutant un certificat SSL<\/a> et en demandant un certificat <em>wildcard LE<\/em>.<\/li>\n<\/ol>\n<p>Tous ces certificats (g\u00e9n\u00e9r\u00e9s automatiquement ou manuellement) sont g\u00e9r\u00e9s par notre plateforme et renouvel\u00e9s automatiquement sur l\u2019API <em>Let\u2019s Encrypt<\/em>, nul besoin de vous en pr\u00e9occuper.<\/p>\n<figure class=\"embed-media__giphy\" style=\"width:65%; padding-bottom:calc(65% * (260 + 12) \/ (480 + 12))\">\n    <video id=\"giphy-${token}\" autoplay loop muted playsinline>\n        <source src=\"https:\/\/media.giphy.com\/media\/81xwEHX23zhvy\/giphy.mp4\" type=\"video\/mp4\">\n        <img decoding=\"async\" src=\"https:\/\/media.giphy.com\/media\/81xwEHX23zhvy\/giphy.gif\" alt=\" @Giphy\">\n    <\/video>\n<\/figure>\n<h2 id=\"d\u00e9passer-les-limites\">D\u00e9passer les limites&nbsp;!<\/h2>\n<p>Malgr\u00e9 la magie du service <em>Let\u2019s Encrypt<\/em>, il y&nbsp;a toujours des limites&nbsp;:<\/p>\n<ul>\n<li>Vous ne pouvez pas utiliser la g\u00e9n\u00e9ration <em>wildcard<\/em> de notre outil si le domaine racine ne vous appartient pas. C\u2019est-\u00e0-dire que vous pouvez toujours g\u00e9n\u00e9rer un certificat de sous-domaine <code>foo.example.org<\/code> si le propri\u00e9taire du domaine <code>example.org<\/code> vous a&nbsp;donn\u00e9 une d\u00e9l\u00e9gation sur le sous-domaine <code>foo<\/code>, mais vous ne pouvez pas g\u00e9n\u00e9rer le certificat <code>*.example.org<\/code>, car vous n\u2019\u00eates pas propri\u00e9taire du domaine.<\/li>\n<li>Vous ne pouvez toujours pas utiliser les certificats <em>Let\u2019s Encrypt<\/em> pour prot\u00e9ger des communications hautement critiques comme les transferts financiers, car ils n\u00e9cessitent les certificats offrant un niveau de s\u00e9curit\u00e9 plus&nbsp;\u00e9lev\u00e9.<\/li>\n<\/ul>\n<p>Pour ce dernier cas d\u2019utilisation, ou pour tout autre pour lequel vous ne voulez pas vous fier aux certificats automatis\u00e9s <em>Let\u2019s Encrypt<\/em>, vous pouvez toujours g\u00e9n\u00e9rer un <em>CSR<\/em> pour votre service et <a href=\"https:\/\/help.alwaysdata.com\/fr\/s%C3%A9curit%C3%A9\/ssl-tls\/ajouter-un-certificat-ssl\/\">installer un CERT SSL \/ TLS<\/a> d\u00e9livr\u00e9 par une autre autorit\u00e9 de votre&nbsp;choix.<\/p>\n<hr>\n<p>Participer \u00e0&nbsp;la s\u00e9curit\u00e9 globale d\u2019Internet est notre engagement en tant que fournisseur de services <em>Cloud<\/em>. Avec cette nouvelle utilisation de l\u2019API <em>Let\u2019s Encrypt<\/em>, nous sommes heureux d\u2019aider quiconque \u00e0&nbsp;augmenter le niveau de s\u00e9curit\u00e9 des services qu\u2019il h\u00e9berge sur notre plate-forme.<\/p>\n<p>Oh, et saviez-vous que vous pouvez m\u00eame <a href=\"https:\/\/help.alwaysdata.com\/fr\/s%C3%A9curit%C3%A9\/ssl-tls\/rediriger-http-vers-https\/\">imposer l\u2019utilisation du SSL<\/a> d\u00e8s la configuration de votre&nbsp;site&nbsp;;)&nbsp;?<\/p>\n<div class=\"speaker-mute footnotes_reference_container\"> <div class=\"footnote_container_prepare\"><p><span role=\"button\" tabindex=\"0\" class=\"footnote_reference_container_label pointer\" onclick=\"footnote_expand_collapse_reference_container_3361_1();\">Notes<\/span><span role=\"button\" tabindex=\"0\" class=\"footnote_reference_container_collapse_button\" style=\"display: none;\" onclick=\"footnote_expand_collapse_reference_container_3361_1();\">[<a id=\"footnote_reference_container_collapse_button_3361_1\">+<\/a>]<\/span><\/p><\/div> <div id=\"footnote_references_container_3361_1\" style><table class=\"footnotes_table footnote-reference-container\"><caption class=\"accessibility\">Notes<\/caption> <tbody> \n\n<tr class=\"footnotes_plugin_reference_row\"> <th scope=\"row\" class=\"footnote_plugin_index_combi pointer\" onclick=\"footnote_moveToAnchor_3361_1('footnote_plugin_tooltip_3361_1_1');\"><a id=\"footnote_plugin_reference_3361_1_1\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">\u2191<\/span>1<\/a><\/th> <td class=\"footnote_plugin_text\">La demande de signature de certificat est le processus de demande d\u2019un certificat d\u00e9livr\u00e9 \u00e0&nbsp;une autorit\u00e9 de certification<\/td><\/tr>\n\n<tr class=\"footnotes_plugin_reference_row\"> <th scope=\"row\" class=\"footnote_plugin_index_combi pointer\" onclick=\"footnote_moveToAnchor_3361_1('footnote_plugin_tooltip_3361_1_2');\"><a id=\"footnote_plugin_reference_3361_1_2\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">\u2191<\/span>2<\/a><\/th> <td class=\"footnote_plugin_text\"><em>Single Point Of Failure<\/em><\/td><\/tr>\n\n<tr class=\"footnotes_plugin_reference_row\"> <th scope=\"row\" class=\"footnote_plugin_index_combi pointer\" onclick=\"footnote_moveToAnchor_3361_1('footnote_plugin_tooltip_3361_1_3');\"><a id=\"footnote_plugin_reference_3361_1_3\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">\u2191<\/span>3<\/a><\/th> <td class=\"footnote_plugin_text\">Cette limite est de notre c\u00f4t\u00e9 et peut changer \u00e0&nbsp;tout moment pour les besoins du service<\/td><\/tr>\n\n <\/tbody> <\/table> <\/div><\/div><script type=\"text\/javascript\"> function footnote_expand_reference_container_3361_1() { jQuery('#footnote_references_container_3361_1').show(); jQuery('#footnote_reference_container_collapse_button_3361_1').text('\u2212'); } function footnote_collapse_reference_container_3361_1() { jQuery('#footnote_references_container_3361_1').hide(); jQuery('#footnote_reference_container_collapse_button_3361_1').text('+'); } function footnote_expand_collapse_reference_container_3361_1() { if (jQuery('#footnote_references_container_3361_1').is(':hidden')) { footnote_expand_reference_container_3361_1(); } else { footnote_collapse_reference_container_3361_1(); } } function footnote_moveToReference_3361_1(p_str_TargetID) { footnote_expand_reference_container_3361_1(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_3361_1(p_str_TargetID) { footnote_expand_reference_container_3361_1(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }<\/script>","protected":false},"excerpt":{"rendered":"<p>La s\u00e9curit\u00e9 est l\u2019affaire de tous&nbsp;! S\u00e9curisez tous vos services d\u2019un seul coup, automatiquement.<\/p>\n","protected":false},"author":12,"featured_media":3355,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"wp_typography_post_enhancements_disabled":false,"footnotes":""},"categories":[1,230],"tags":[78,138,222,213,132,103,17,195],"class_list":["post-3361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized","category-uncategorized-fr","tag-certificates","tag-certificats-fr","tag-lets-encrypt-fr","tag-lets-encrypt","tag-securite-fr","tag-security","tag-ssl-tls","tag-ssl-tls-fr"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/posts\/3361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/comments?post=3361"}],"version-history":[{"count":0,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/posts\/3361\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/media\/3355"}],"wp:attachment":[{"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/media?parent=3361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/categories?post=3361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alwaysdata.com\/fr\/wp-json\/wp\/v2\/tags?post=3361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}