Dernière modification : 3 octobre 2009
Changement de certificat SSL d’Ouvaton
Un peu de vocabulaire tout d’abord, pour savoir de quoi on parle :
SSL (Secure Socket Layer) est le nom des connexions sécurisées qui s’établissent parfois entre votre navigateur web et divers sites. Lorsque vous vous connectez à votre panel d’administration par exemple, le serveur d’Ouvaton vous demande de passer en mode sécurisé (crypté) afin que personne ne puisse intercepter vos communications, et notamment vos codes d’accès et mot de passe.
Certificat SSL : lors de l’établissement de toute communication sécurisée, votre navigateur web et le serveur que vous consultez s’échangent leur "carte d’identité". Cette carte d’identité permet au serveur de dire "moi je suis le serveur du domaine gloux.ouvaton.coop". Mais comme tout ce qui est numérique est généralement facilement copiable, modifiable, falsifiable, il se trouve que n’importe qui peut créer n’importe quelle carte d’identité, et se faire passer pour gloux.ouvaton.coop. Cette carte d’identité est donc authentifiée par une signature numérique. C’est ça le certificat SSL : la signature numérique qui est sur la carte d’identité du serveur d’Ouvaton.
Les Autorités de certification sont des entités reconnues mondialement pour avoir le droit de signer les cartes d’identité électronique, c’est à dire, de créer des certificats SSL.
Un business juteux : sans rentrer dans les détails, les autorités de certification font généralement payer une centaine d’euros pour vous donner un certificat SSL. Oui, une centaine d’euros la signature (pas la carte d’identité entière non, juste la signature) ! Comme ce n’était sans doute pas assez cher, les autorités de certification ont décidé que les signatures se périmaient tous les ans (bah tiens, tant qu’à faire ;-).
Nous avons là un des business les plus juteux de l’Internet. Etre autorité de certification coûte cher, mais c’est une manne formidable où vous facturez 100 euros / an vos clients pour une petite signature électronique qui ne coûte absolument rien à produire.
Le root certificate d’une autorité de certification est un certificat particulier, qui permet d’authentifier toutes les signatures émises par cette autorité. Tous les navigateurs web (Internet Explorer, FireFox, Safari, Opera, ...) sont livrés avec une poignées de root certificates appartenant aux principales autorités de certification du monde. Quand le navigateur entre en communication cryptée avec un site web, il regarde la "carte d’identité du site", vérifie qu’elle est valide en regardant la signature qui y est apposée, et vérifie que cette signature elle-même est valide avec le root certificate de l’autorité correspondante.
Et Ouvaton dans tout cela ?
Ouvaton a besoin de deux certificats SSL : un pour le domaine ouvaton.coop, l’autre pour ocsa-data.net. Jusqu’à maintenant, nous payions ces deux certificats 150 dollars chacun à notre autorité de certification habituelle (goDaddy pour ne pas la nommer).
Comme nous en avons un peu raz-le-bol de sortir 300 dollars / an pour le petit racket organisé que représente l’émission de certificats SSL, nous avons changé d’autorité de certification pour adopter CACert. CACert est une autorité coopérative qui délivre des certificats SSL ... gratuitement. Comme ça ne coûte rien à produire, CACert offre ce service à qui le désire. La seule différence, c’est qu’hélas, le root certificate de CACert, n’est PAS livré par défaut avec tous les navigateurs.
Ainsi, votre navigateur, lorsqu’il commence une communication cryptée avec les serveurs d’Ouvaton regarde le certificat SSL que CACert nous a donné, mais comme il ne trouve pas le root certificate correspondant, il vous affiche une message d’erreur en disant à peu près : je suis incapable d’authentifier ce certificat SSL. Dois-je tout de même continuer ?
Ce qu’il faut faire
Vous avez deux solutions : ou bien vous dites simplement à votre navigateur de continuer. Il faut en général cliquer sur "ajouter un exception". Votre navigateur passera alors outre cette vérification du certificat SSL, et entamera la communication cryptée avec Gloux.
Ou bien, vous importez le root certificate de CACert. Une fois ce root certificate importé, tous les certificats SSL issus par CACert seront validés, et vous pourrez communiquer de façon cryptée avec nos serveurs aussi simplement qu’avant. Pour importer ce root certificate, il suffit de cliquer sur le lien suivant et valider l’ajout dans votre navigateur :
| certificat racine de CACert au format PEM. |
P.-S.
La connaissance de CAcert.org nous a été donnée par l’APRIL, la célèbre association pour la promotion des logiciels libres, qui, elle aussi, utilise un certificat SSL de CACert : article sur le certificat SSL du site de l’April.