Les certificats SSL

Alors, plusieurs informations tout d'abord :

Le certificat SSL que tu peux acheter chez OVH ne te permet en réalité que d'avoir un avantage : ne pas avoir d'avertissement comme quoi le certificat utilisé par ton site n'est pas reconnu.

Néanmoins, à partir du moment que tu configure ton apache et ton site pour utiliser le protocole HTTPS, tes échanges clients <-> serveurs seront en effet cryptés.

Donc, quand tu achète ton certificat, tu achète en fait la reconnaissance de la sécurité de ton site auprès d'une autorité (ici OVH). Cette autorité étant reconnu par les navigateurs, il n'y a donc plus d'avertissement par le navigateur.

Pour le plan plus technique, à partir de moment que tu envois tes requêtes à partir d'une source HTTPS et qu'on te répond par le même protocole, ça sera crypté. Néanmoins, a ce jour, il n'a pas été recensé de piratage de donnée à la volée comme tu le craint.

Pour le chiffrement et l'écoute par un tiers, il y a des techniques à la con qui ne nécessitent aucun craquage de clé. Si tu es parano, seul un certificat "EV" (qui affiche ton nom en vert dans la barre du navigateur) apporte une vraie sécurité. Pour les autres la communication peut être altérée et/ou écoutée notamment dans des configurations du genre cybercafé, hotspot wifi etc. (par une personne ayant accès à la configuration de ton réseau local/accès à internet).

NB: par sécurité j'entends "garantie d'être sur le vrai et bon site". Pour le chiffrement, un certificat maison auto-signé donne le même résultat qu'un certificat payant.

Ok, donc l'alerte qu'on a par exemple lorsque l'on va sur le webmin d'un de ses dédiés OVH, c'est parce que la connexion est crypté mais qu'il n'est pas enregistré au près d'une autorité (j'avais jamais compris pourquoi y avait cette alerte).

Donc pour le cas d'une api, cela ne pose pas de problème de crypter sans SSL valide ? Ou alors une erreur bloquera l'accès ?

Oui je compte de toute manière prendre des certificats SSL (coté visiteur et coté API).

Merci pour vos renseignements, je comprends désormais bien mieux leur fonctionnement ;)

A+,

Xavier.

L'assurance c'est beaucoup de vent

En choix, tu as :
- Gratuit et auto-signé : échange chiffré, alerte du navigateur (de plus en plus dure à contourner)
- Vraiment pas cher : échange chiffré, autorité pas forcément reconnue par tous les navigateurs/OS
- Un peu plus cher (Thawte, Verisign à ~100 USD/an) : échange chiffré, autorité bien reconnue
- Beaucoup plus cher (Thawte, Verisign à ~1000 USD/an) : certificat EV plus galère à obtenir, nom de ta boîte en vert dans la barre d'adresse des navigateurs récents (très bon pour la confiance), échange chiffré, autorité bien reconnue

Le choix dépend à 100% de l'usage... Par exemple les banques en lignes devraient être en EV (la mienne n'a qu'un certificat classique), comme Paypal. Les services sensibles aussi (OVH est depuis quelques mois en EV).
Après pour des usages plus classique (espace membre), sauf si tu es Facebook (qui est en EV), un certificat classique suffit, et le pas cher/moyen cher dépend de l'équipement de ta cible.
Et puis pour une interface d'admin perso, un auto-certificat avec une exception dans le navigateur suffit.

sinon pour le certificat de ton dédié, c'est parce que c'est un certificat auto-signé. Il te permet juste de profiter du https (pour webmin par exemple)
Tu peux d'ailleurs toi-même générer des certificats sur ton serveur. Le certificat que tu achètes chez ovh en revanche, est généré spécifiquement pour ton site selon l'enregistrement DNS associé

Pour l'histoire des sous domaines, oui j'ai vu ça sur le site d'OVH.

Par contre, pour moi, même si tu prends le domaine court tu devras aussi le prendre pour le domaine long, c'est ce qui est écrit chez OVH, peut être que tous les organismes ne fonctionnent pas pareil sur ce point ?

Chez StartSSL (gratuit, mais reconnu que par les navigateurs/OS récents), c'est le "court" qui est ajouté automatiquement. Si tu prends admin.bidule.tld ils ajoutent systématiquement bidule.tld avec.

Autre petite question, lorsqu'un navigateur non compatible tente d'accèder au site, que se passe-t-il ? La connexion n'est pas cryptée ou le site est inaccessible (protocole non compatible je pense) ?

Pour le certificat dont j'ai donné le lien, il est installé pour un de nos clients, j'ai testé avec IE6, Firefox, opéra, safari, etc. C'est passé comme une lettre à la poste...

Pour quoi payer 100€ si pour beaucoup moins cher on a le même service.

Maintenant pour un traitement de carte de crédit par exemple je pense qu’on fait plus sérieux d'être vérifié par Verisign. Comme dit précédemment ça dépend la finalité du certificat.