Ce tutoriel vous donne quelques solutions pour vérifier le certificat SSL de votre site internet.
La vérification se base notamment sur les outils OpenSSL (disponible sur Linux), cipherscan (en python) ou en ligne avec Qualys SSL Labs.
Le but est de détecter les erreurs liées à une mauvaise installation d’un certificat SSL sur votre site HTTPS.
Par exemple un certificat SSL mal installé ou l’utilisation d’algorithmes de chiffrement considéré comme peu sûr.
Pour rappel, il existe un article sur le site qui explique le fonctionnement général du HTTPs : Les sites HTTPs : pourquoi sont-ils sécurisés
Voici comment vérifier la validité certificat SSL/TLS d’un site HTTPS.
Table des matières
Comment vérifier la validité certificat SSL/TLS d’un site HTTPS
La signature des certificats SSL utilise des algorithmes de chiffrement (cipher) et fonctions de hash comme SHA256 avec RSA ou SHA256 avec ECDSA.
De même l’établissement de la connexion sécurisée se base sur le protocole TLS. Ce dernier utilise lui aussi des algorithmes comme ECDHE-RSA-AES128-GCM-SHA256.
Avec le temps, certaines suites de chiffrement sont considérés comme peu sûr car cassables. il faut alors les désactiver dans la configuration du sreveur.
Enfin TLS supporte aussi différentes versions comme TLSv1.1, TLSv1.2 …
Selon la version du navigateur WEB, ce dernier peut ne pas supporter l’algorithme ou les versions de TLS.
Enfin si le certificat est mal configuré, cela génère aussi des erreurs SSL.
Vous pouvez donc vérifier la comptabilité de votre configuration SSL avec les navigateurs internet.
Les navigateurs internet peuvent retourner le site comme sécurisé mais sur les smartphones, vous pouvez rencontrer une erreur de sécurité.
Notamment sur les Smartphone, l’accès au site internet peut-être bloqué et un message d’erreur est retourné : « Le certificat du site présente un problème« .
Google Chrome peut aussi afficher une erreur du type : Votre connexion n’est pas chiffrée.
Il peut alors être nécessaire de vérifier les certificats du site internet.
Je rappelle qu’un navigateur internet donne déjà pas mal d’indications sur le certificat.
SSL Labs
SSL Labs est une solution gratuite en ligne édité par Qualys pour effectuer une vérification complète de son site HTTPS.
il attribue une note selon la configuration de votre certificat SSL et indique aussi les éventuelles erreurs.
Le site vérifie tout d’abord chaque adresse IP du serveur WEB et donne une note (grade).
Puis on peut ouvrir le rapport complet avec la version TLS supportée, si HSTS est activé.
Ensuite plus bas, les informations du certificat avec l’autorité de certification qui le délivre, l’algorithme de signature, ..
Enfin dans la dernière partie du rapport SSL, on obtient la configuration TLS avec les versions supportées ainsi que les suites de chiffrement disponibles.
On peut aussi avoir une simulation des algorithmes de chiffrement utilisés par chaque navigateur internet.
SSL Labs est donc une solution complète pour évaluer la sécurité et configuration de son site HTTPS et aider à débugger les erreurs SSL.
OpenSSL
OpenSSL est une librairie libre et outil en ligne de commandes disponible dans toutes les distributions Linux.
On peut utiliser le client OpenSSL pour se connecter à un site HTTPS et obtenir des informations sur la négociation TLS.
Cela grâce à la commande openssl s_client.
Pour vérifier le certificat d’un site, vous pouvez utiliser la commande openssl disponible sur la plupart des distributions Linux.
Voici la syntaxe de la commande :
openssl s_client -showcerts -servername forum.malekal.com -connect forum.malekal.com:443 2>/dev/nullLorsqu’une erreur est détecté, celle-ci apparaît en jaune dans la capture d’écran ci-dessous.
Un code erreur est alors indiqué.
Dans le cas où tout est correct, on obtient un code 0 OK.
cipherscan
cipherscan est un outil gratuit qui permet d’analyser les certificats d’un site internet.
Voici le lien pour télécharger l’outil :
Ci-dessous, un exemple avec une erreur sur le certificat, ce dernier est alors marqué en untrusted.
Sinon le certificat est marqué en vert trusted.
