Chiffrement HTTPS avec SSL/TLS

Certificats Let’s Encrypt gérés par Evolix (méthode recommandée)
Certificats tiers gérés par nos clients
- Cas 1 : Clé privée et CSR gérées par Evolix (méthode recommandée)
- Cas 2 : Clé privée et CSR gérées par le client (méthode déconseillée pour la sécurité)

Pour chiffrer les échanges entre votre serveur web et les navigateurs, il est possible d’activer le protocole HTTPS. Il utilise des certificats SSL/TLS pour chiffrer les données échangées.

Le système de certification et de chiffrement est basé sur le chiffrement asymétrique :

Le serveur utilise sa clé privée pour générer une demande de certificat (CSR, certificate signing request) contenant une liste de domaines à signer.
La CSR est envoyée à une autorité de certification.
L’autorité de certification vérifie que les domaines dans la CSR appartiennent bien au demandeur.
L’autorité de certification émet un certificat signé avec sa clé privée.
Le certificat est installé sur le serveur web, avec la chaîne de certificats de l’autorité de certification.

Lors d’une requête web en HTTPS, le certificat est envoyé par le serveur web au navigateur, qui peut vérifier que le certificat est authentique grâce à la clé publique de l’autorité de certification.

Certificats Let’s Encrypt gérés par Evolix (méthode recommandée)

Let’s Encrypt est une autorité de certification qui permet de renouveler gratuitement et automatiquement les certificats SSL qui vont arriver à expiration.

Pré-requis :

Les enregistrements de tous les domaines et sous-domaines du compte web doivent pointer vers le serveur.
- Sinon, Let’s Encrypt ne pourra pas vérifier que vous êtes bien propriétaire des domaines et refusera de signer la demande de certificat.

Les dernières versions d’EvoAdmin-web vous permettent d’activer vous-mêmes HTTPS avec un certificat Let’s Encrypt sur vos comptes web.

Si vous avez une version plus ancienne, nous pouvez nous ouvrir un ticket et nous demander d’ajouter un certificat Let’s Encrypt en précisant :

Le nom du serveur.
Le nom du compte web, ou a minima, un des domaines du compte web.
Si vous souhaitez ou non une redirection de HTTP vers HTTPS.

Certificats tiers gérés par nos clients

Si vous passez par une autre autorité de certification, vous pouvez nous fournir votre certificat pour qu’on l’installe sur le serveur.

Cas 1 : Clé privée et CSR gérées par Evolix (méthode recommandée)

Première étape : demandez à Evolix dans un ticket de générer une clé privée et une CSR, en précisant :

Le nom du serveur.
Le nom du compte web, ou a minima, un des domaines du compte web.

Nous vous enverrons une CRS, que vous pourrez transmettre à votre autorité de certification.

Deuxième étape : nous fournir le certificat et la chaîne de certification de votre autorité de certification, en précisant si vous souhaitez ou non une redirection de HTTP vers HTTPS.

Cas 2 : Clé privée et CSR gérées par le client (méthode déconseillée pour la sécurité)

Cette procédure est déconseillée par rapport à la précédente. Elle nécessite d’envoyer la clé privée sur le réseau, ce qui ouvre la possibilité de l’usurper via une attaque de type man-in-the-middle.

Si vous souhaitez quand même utiliser cette méthode, il faut nous fournir :

Le certificat signé contenant tous les domaines du compte web.
- La chaîne de certification de votre autorité de certification.
- La clé privée utilisée pour générer la CSR.
Le nom du serveur.
Le nom du compte web, ou a minima, un des domaines du compte web.
Si vous souhaitez ou non une redirection de HTTP vers HTTPS.