ssl-https-image

Notes sur la création de certificats SSL autosignés

L’information est surement déjà vue et revue, je met donc simplement quelques notes sur openssl pour la création de certificats autosignés.

Générer certificat

Attention : mettre le nom de la machine / nom de domaine pour « Common Name »
On peut utiliser un wildcard (joker) du type *.example.com
Il est possible d’associer plusieurs noms alternatifs à un certificat en utilisant subjectAltName

Editer l’écoute apache

 Utiliser un certificat dans la config virtualhost

 

Obtenir le certificat d’un site

Décrypter un certificat avec la clé privée protégée par un mot de passe.

Certificat signé par un CA valide

Il est possible d’avoir un certificat SSL émis par une CA (certificate authority) reconnue des navigateurs. J’y ai consacré un article à propos de startssl qui propose un certificat SSL d’un an gratuitement.

logo apache

Apache refuse de démarrer dans un vserver à cause du socket

En mettant à jour un vserver web de Debian Squeeze en Wheezy sur un hôte vserver en Debian Lenny, je suis tombé sur une coquille…. La plupart des services ont correctement redémarré sauf Apache… Il refusait de se lancer… J’ai eu ces erreurs en fonction des options de Listen que j’ai essayé :

Il s’agit d’un problème lié au vserver et la librairie libapr1, utilisée par Apache, qui fait des appels noyau… Ce qui est embêtant pour mon vserver…

Il faut recompiler cette librairie.

logo apache

Apache en mode reverse proxy

Un reverse proxy vous servirait à quoi ? A proposer une « interface » au monde extérieur avec vos différentes applications web par exemple. Ce qui se trouve derrière le reverse proxy Apache n’a pas d’importance… Que se soit un autre serveur Apache, un serveur Tomcat, un IIS ou bien une application web fonctionnant sur un numéro de port différent du 80.

Il permet également de sécuriser les systèmes qui sont placés derrière ce proxy. En étant en frontal sur le web et en présentant son « interface ». Le proxy apparait comme un Apache aux yeux des bots de scan. On peut même laisser sa signature exprès pour que les bots n’aillent pas plus loin. Il sera identifié comme serveur Apache par un scan externe.

logo apache

Apache – test de configuration et benchmark

Voici une petite note pour tester votre configuration Apache avant de l’appliquer, choisissez l’option appropriée selon votre distribution :

Pour tester la performance de votre application ou pour des tests de performances de charge, Apache dispose d’un outil de Benchmark. Il est fourni de base avec Apache mais peut aussi être installé indépendamment via le paquet « apache2-utils » sur votre pc.

  • -n est le nombre de requêtes à effectuer en même temps
  • -c est le nombre de fois qu’on va effectuer cette « session » de requêtes

 

ssl-https-image

Obtenir un certificat SSL valide gratuitement

Vous avez surement déjà utilisé des certificats SSL pour sécuriser vos applications. Et très certainement des certificats auto-signés.

Mais chaque nouvel utilisateur reçoit un message d’avertissement de sécurité et ce n’est pas professionnel.

Cela peut être dangereux. En effet, n’importe qui se plaçant entre le nouvel utilisateur et le serveur peut faire une attaque MITM et générer un certificat auto-signé pour se faire passer pour le serveur distant. Le nouvel utilisateur n’y verra que du feu s’il ne vérifie pas l’emprunte du certificat.

Il faut donc penser à utiliser un certificat signé par une autorité valide (CA). La plupart sont payantes mais il en existe des gratuits.