Let’s encrypt – SSL c’est quoi ? et ADFS ?

Vous connaissez tous SSL/TLS ?
Non ?

Voilà ce qu’en dit Wikipédia

TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité suivants :

  • L’authentification du serveur ;
  • la confidentialité des données échangées (ou session chiffrée) ;
  • l’intégrité des données échangées ;
  • de manière optionnelle, l’authentification du client (mais dans la réalité celle-ci est souvent assurée par le serveur).

 

En gros, cela permet d’afficher un petit cadenas vert dans le navigateur et de garantir que le serveur en face communique de façon sécurisé avec votre navigateur.

 

Concernant Let’s Encrypt (et toujours Wikipédia)

Let’s Encrypt est une autorité de certification lancée le 3 décembre 2015 (qui est sorti de Beta il y a quelques mois). Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS au moyen d’un processus automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l’installation et le renouvellement des certificats pour la sécurisation des sites internet.

L’avantage la gratuité. L’inconvénient, le certificat doit être renouvelé tous les 3 mois et qu’ils font donc l’attacher à vos serveurs. Si en plus le dit serveur est un IIS ou un service Microsoft …s’pas facile.

MAIS … MAIS … il y a une petite solution bien sympa et qui fonctionne avec ADFS.

Que permet ADFS … de fabriquer entre autre un reverse proxy intelligent.
Le reverse proxy permet d’interpréter les adresses web pour le relayer vers une machine d’un LAN.

C’est-à-dire.
Admettons que j’ai le nom de domaine titi.com.
Admettons que j’ai 3 machines avec exchange, un apache sous linux et un serveur IIS quelconque.
Admettons qu’elles servent toutes un service sur le port 443 ou SSL/TLS.

Soit j’expose chaque machine avec un port différent (nattage par port). C’est crade.
Soit j’utilise mon ADFS pour dire que exchange.titi.com va sur l’Exchange, apache.titi.com va sur le serveur Apache et iis.titi.com va sur le serveur IIS le tout sur un seul port 443.

C’est mieux non. Sans compter qu’il devient possible avec ADFS d’utiliser SSTP (le VPN SSL de Microsoft) 3 machines différentes en 443 sur le même port !
La ça devient TOP !!!

Dans un prochain billet, je vous expliquerais comment.