Certificat SSL et sous domaines

a marqué ce sujet comme résolu.

Bonjour à tous,

Je ne suis pas sur d’être dans la bonne section du forum et je m’en excuse par avance.

Voila, j’ai un nom de domaine du type monsite.com et une multitude de sous domaines

  • www.site1.monsite.com
  • www.site2.monsite.com
  • www.siteN.monsite.com

Pour le moment, j’achète un certificat SSL pour certain de mes sous domaines et je crée des certificat auto-signé pour d’autres.

Tout cela commence à couter cher sans parler des renouvellements de certificats …
Je me demande donc si c’est vraiment la bonne façon de faire ? Si je suis obliger de faire ça ou bien je pourrais pas avoir quelque chose pour monsite.com qui se déclinerait pour mes sous domaines ?

Tu peux générer un wildcard (comme *.monsite.com), qui ne fonctionnera que pour un niveau de sous-domaines (donc site1.monsite.com mais pas www.site1.monsite.com, il faudra créer un certificat pour *.site1.monsite.com du coup).

Tu peux aussi utiliser Let’s Encrypt pour générer tes certificats, c’est gratuit et assez simple à mettre en place avec Certbot (il y a même des outils qui automatisent le renouvellement).

Salut,

Ce que tu cherches existe, ça s’appelle un certificat wildcard, valable pour un domaine et tous ses sous-domaines. Beaucoup d’autorités de certification proposent de tels certificats, mais ils vendent ça très cher.

Let’s Encrypt est une autorité de certification gratuite (ils ne vérifient que le contrôle du domaine — mais en réalité, les autorités payantes ne font souvent pas beaucoup plus que ça…) mais reconnue (c’est d’ailleurs l’autorité de certification utilisée par défaut par OVH pour toutes leurs offres mutualisées, entre autres). Ils proposent depuis peu des certificats wildcard. Ça peut être une bonne solution pour tout centraliser et, au passage, réduire considérablement les coûts.


@viki53 : meheuh. Et j’imagine que tu voulais écrire *.site1.monsite.com.

Il y a même des outils qui automatisent le renouvellement

Je vais aller plus loin : Let’s Encrypt est conçu pour que le renouvellement soit automatique (pour ça que la durée de vie des certificats est si courte : c’est pour inciter à mettre l’automatisme en place).

+2 -0

À noter que la gestion du wildcard de Let’s Encrypt se fait via DNS. Tu as donc besoin d’un client compatible (Certbot, Acme.sh) et d’avoir un fournisseur DNS géré par le client utilisé (tu as de mémoire un peu de tout pour Acme.sh : Cloudflare, Route53, DigitalOcean, Gandi, …).

Concrètement, tu lances de temps en temps le client qui va changer des records spécialement prévus à cet effet dans le DNS, pour prouver que tu as bien la main dessus. Ensuite il te sort les fichiers du certificat et tu n’as plus qu’à les envoyer de façon sécurisée (via SCP par exemple) sur tous les serveurs qui vont devoir l’utiliser.

Il est possible de faire tourner le client Let’s Encrypt chez toi, pas besoin d’un serveur public (c’est un avantage par rapport au challenge HTTP classique).

Bonjour à tous et merci pour vos réponses. En effet, les certificats wildcard semblent répondre à mon besoin

c’est d’ailleurs l’autorité de certification utilisée par défaut par OVH pour toutes leurs offres mutualisées, entre autres). Ils proposent depuis peu des certificats wildcard. Ça peut être une bonne solution pour tout centraliser et, au passage, réduire considérablement les coûts.

ça tombe bien, je suis chez OVh et j’ai donc fouillé la doc :

je vais tenté ça; je pense que ça va beaucoup réduire mes coûts (aussi bien à l’achat que en maintenance)

Hello,

Tu peux aussi exploiter les Subject Alternative Names pour inclure plusieurs domaines dans un même certificat. Contrairement aux wildcards ça doit être une liste finie, il faut donc régénérer le certificat si tu souhaites en ajouter ou en supprimer, mais c’est gratuit si tu es chez Let’s Encrypt, et plus simple dans le sens où tu n’as pas les contraintes inhérentes aux wildcards.

Attention, je me trompe peut-être mais il me semble qu’OVH ne supporte pas encore les certificats wildcards, ils se basent sur les Subject Alternative Names, donc si tu as un certificat Let’s Encrypt activé sur ton hébergement, quand tu ajoutes un multisite en cochant la case SSL tu peux régénérer gratuitement le certificat qui prendra ton nouveau multisite en compte. Il me semble que la régénération du certificat est déclenchée automatiquement à l’ajout du multisite mais je n’en suis plus sûr, il faut peut-être le faire manuellement, par contre la régénération est automatique.

En tous cas clairement, sauf éventuellement si tu fais de l’e-commerce, base-toi sur Let’s Encrypt, les certificats payants coûtent très cher et n’apportent rien de plus.

+3 -0

La seule chose à garder en tête avec les certificats avec Subject Alternative Names, c’est que cette liste est visible par n’importe qui ayant accès au site (car le certificat est envoyé au navigateur) — par exemple sous Firefox c’est dans les propriétés du certificat quand on clique sur le cadenas, puis la flèche, puis “Plus d’informations”, puis “Afficher le certificat”. Donc si la liste des domaines ne doit pas être découvrable, c’est à éviter. Sinon, ça marche bien en effet, mais il faut renseigner chaque domaine à la main.

La liste des noms alternatifs sur le détail du certificat de Zeste de Savoir (liste des domaines publics en *.zestedesavoir.com, concrètement)
Exemple, sur le certificat de ZdS.
+3 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte