Libre de faire, Faire Libre

Chez les bidouilleurs de l'auto-hébergement, il y a des choses qu'on apprend à faire sur le tas : monter un serveur Apache, une base de données, des VirtualHosts et lier des applications à tout ceci, et des choses qu'on apprend sur le tard.

Sur mon installation actuelle, dont je suis assez fier puisque montée en presque autodidacte, je ne me suis pas tout de suite penché sur la sécurité des données qui transitées sur le réseau depuis mon serveur principal.

C'est maintenant chose faite : une partie de mon installation est désormais chiffrée part OpenSSL.

Mon instance ownCloud et la partie administration de ce blog propulsé sous Dotclear sont maintenant systématiquement redirigés vers leurs version HTTPS et non plus HTTP. En fait, à chaque fois qu'un mot de passe est demandé, je veux que ce soit fait de façon sure, en sécurisant le transite des données entre le navigateur et le serveur.

Je vous propose donc de partager ici les manipulations à faire pour un serveur sous Debian (encore Squeeze) et Apache2.

Remarque : La configuration que je vous propose se base sur des certificats auto-signés. Le principe des certificats repose sur une notion de confiance : le certificat est délivré par une entité jugée sure et reconnue qui prouve/atteste que vous arrivez dans une zone faisant transiter des données critiques de façon protégée. Avoir un certificat "officiel" coûtant environ un bras et deux jambes, ce que je vais expliquer ci-dessous s'appuie sur un certificat généré par vos soins, non officiel donc. Cela ne change rien quant au gain de sécurité. Le navigateur soupirera parce le certificat qu'il accepte n'émane pas d'une entité officielle, mais c'est tout.