La sécurisation des données est devenue un enjeu majeur pour les passionnés de domotique. Pour les utilisateurs de solutions telles que Jeedom ou Home Assistant, souvent hébergées sur un micro-ordinateur comme le Raspberry Pi, la mise en place d’une connexion chiffrée n’est plus une option mais une nécessité. Le certificat SSL, notamment celui fourni gratuitement par l’autorité de certification Let’s Encrypt, constitue la pierre angulaire de cette protection. Cependant, sa durée de validité de 90 jours impose un renouvellement régulier, une procédure qui peut sembler complexe mais qui est en réalité tout à fait maîtrisable, y compris pour les non-initiés.
Comprendre l’importance des certificats SSL pour Raspberry Pi
Le rôle du chiffrement dans la domotique
Un certificat SSL, pour Secure Sockets Layer, est un protocole de sécurité qui crée un lien chiffré entre un serveur web et un navigateur. Dans le contexte de la domotique, votre Raspberry Pi agit comme un serveur, et votre smartphone ou ordinateur comme un client. Sans chiffrement, toutes les informations échangées, comme les commandes pour allumer une lumière ou les identifiants de connexion, transitent en clair sur le réseau. Elles sont donc vulnérables à l’interception et au détournement. L’utilisation du protocole HTTPS, activé par un certificat SSL, garantit que ces données sont illisibles pour quiconque tenterait de les espionner. C’est une protection fondamentale pour préserver la confidentialité de votre vie privée et la sécurité de votre domicile.
Pourquoi choisir Let’s Encrypt ?
Let’s Encrypt est une autorité de certification à but non lucratif qui a révolutionné l’accès à la sécurité sur internet. Son principal avantage est de fournir des certificats SSL entièrement gratuits. Avant son arrivée, l’obtention d’un certificat était une démarche souvent coûteuse et complexe, réservée aux entreprises. Let’s Encrypt a rendu le HTTPS accessible à tous, y compris aux amateurs de domotique. Le processus est largement automatisé grâce à des outils comme Certbot, ce qui simplifie grandement l’installation et le renouvellement. Sa popularité et sa reconnaissance par tous les navigateurs modernes en font un choix de confiance.
La contrainte des 90 jours : une sécurité renforcée
La durée de vie de 90 jours d’un certificat Let’s Encrypt est parfois perçue comme une contrainte. En réalité, il s’agit d’une mesure de sécurité délibérée. Un certificat à courte durée de vie limite les dommages potentiels en cas de compromission de la clé privée associée. Si un attaquant parvenait à voler votre clé, il ne pourrait l’utiliser que pour une période maximale de trois mois. Cette politique encourage également l’automatisation du renouvellement, ce qui garantit que les meilleures pratiques de sécurité sont appliquées de manière continue, réduisant ainsi les risques liés à l’oubli ou à l’erreur humaine.
Cette compréhension des fondamentaux de la sécurité justifie pleinement l’effort requis pour la mise en place et la maintenance d’un certificat. Il convient maintenant de préparer concrètement l’environnement technique pour accueillir ce renouvellement.
Préparer le Raspberry Pi pour le renouvellement du certificat SSL
Accès externe et configuration du routeur
Pour que Let’s Encrypt puisse vérifier que vous contrôlez bien le nom de domaine pour lequel vous demandez un certificat, son serveur doit pouvoir contacter votre Raspberry Pi. La méthode la plus courante, appelée validation HTTP-01, nécessite d’ouvrir temporairement le port 80 (pour le trafic HTTP) sur votre routeur et de le rediriger vers l’adresse IP locale de votre Raspberry Pi. Il est impératif de refermer ce port une fois le certificat obtenu pour ne pas exposer inutilement votre système. Assurez-vous également que votre Raspberry Pi possède une adresse IP locale fixe pour que la redirection de port reste fonctionnelle.
-
TP-Link Archer AX18 Routeur WiFi 6, Routeur WiFi AX 1500 Mbps bi-Bande, 4 Ports Gigabit, 4 antennes à Haute Performance, WPA3, Contrôle Parental, EasyMesh, Antivirus intégréTechnologie WiFi 6 - Archer AX18 est équipé de la dernière technologie sans fil, WiFi 6, pour des vitesses plus rapides, une plus grande capacité et une réduction de la congestion du réseau Débits 1,5 Gbit/s - le routeur Archer AX18 atteint des vitesses encore plus rapides jusqu'à 1,5 Gbit/s (1201 Mbps sur la bande 5 GHz et 300 Mbps sur la bande 2,4 GHz) Connectez plus d'appareils - la technologie WiFi 6 communique plus de données à plus d'appareils en utilisant la technologie révolutionnaire OFDMA et MU-MIMO tout en réduisant simultanément le décalage Couverture plus fiable - obtenez une couverture WiFi plus solide et plus fiable avec Archer AX18 car il concentre la puissance du signal sur vos appareils à l'aide de la technologie Beamforming et de quatre antennes Augmentation de la durée de vie de la batterie - la technologie Target Wake Time réduit la consommation d'énergie de vos appareils pour prolonger la durée de vie de la batterie Configuration facile - configurez votre routeur en quelques minutes avec la puissante application TP-Link Tether Rétrocompatible - Archer AX18 prend en charge toutes les normes 802.11 précédentes et tous les appareils WiFi -
TP-Link Archer BE3600 Routeur WiFi 7, Vitesse jusquà 3,6 Gbit/s, bi-Bande, 2 Ports 2.5G, USB 3.0, 4 antennes à Haute Performance, EasyMesh, WPA3, Contrôle Parental, Antivirus intégré【Wi-Fi 7 : la nouvelle ère du Wi-Fi + l’expertise TP-Link】La technologie Wi-Fi 7 (802.11be) apporte des innovations majeures comme 4K-QAM, 320 MHz de largeur de canal et Multi-Link Operation (MLO), offrant une hausse de débit d’environ 20 % par rapport à WiFi 6. En tant que marque pionnière dans la technologie réseau, TP-Link met en avant ce standard comme socle de son leadership dans l’ère Wi-Fi 7. 【Vitesse Wi-Fi 7 ultra-rapide】Profitez de la nouvelle génération Wi-Fi 7 (802.11be) avec des vitesses fulgurantes : 2 882 Mbps sur 5 GHz et 688 Mbps sur 2,4 GHz, soit bien plus rapide que le Wi-Fi 6. Idéal pour le streaming 4K, le cloud gaming ou les transferts lourds sans latence. 【Couverture étendue avec 4 antennes externes & beamforming】Les 4 antennes à gain élevé diffusent un signal puissant dans toute la maison. La technologie Beamforming oriente le signal vers vos appareils pour une couverture homogène, même à travers les murs. 【Ports 2,5 GbE & USB 3.0】2 ports 2,5 G (WAN + LAN) et trois ports Gigabit garantissent une connectivité filaire sans goulot d’étranglement. Le port USB 3.0 permet le partage rapide de fichiers, le streaming ou le stockage local. 【Sécurité WPA3 & TP-Link HomeShield】Bénéficiez du chiffrement WPA3, la norme de sécurité Wi-Fi la plus récente, pour protéger vos données personnelles. Le système HomeShield offre des contrôles parentaux et une protection réseau en temps réel. Compatible avec EasyMesh, pour une couverture Wi-Fi homogène dans toute la maison. 【Installation simplifiée via l’application Tether】Configurez votre routeur en quelques minutes grâce à l’app TP-Link Tether, disponible sur iOS et Android. Suivez les étapes guidées, gérez votre réseau, vos appareils et vos contrôles parentaux, le tout depuis votre smartphone — simple et rapide ! -
1200Mbps Repeteur WiFi Puissant sans Fil,5G Amplificateur WiFi de avec 6 Antennes Couvrant Une Superficie de 10000 sq.ft,2 Ports LAN,Répéteur WiFi/Routeur/AP,pour la Maison et Le Bureau (5G)1200 Mbps High Speed / Dual band : le puissant prolongateur wifi offre une connectivité bi - bande ultra - rapide de 1200 Mbps (5 GHz jusqu'à 867 Mbps + 2,4 GHz jusqu'à 300 Mbps) pour maximiser la sécurité du réseau et assurer vos problèmes de sécurité réseau. Wifi extender empêche efficacement les autres de voler votre réseau, protège vos données importantes, évite les interférences wifi et les problèmes de confidentialité, prend en charge la sécurité sans fil. Technologie de Pointe à 6 Antennes : l'amplificateur de signal wifi extender avec 6 antennes omnidirectionnelles intelligentes et 6 Systèmes d'extension, améliore considérablement la réception et la transmission du signal wifi, assure la transmission de gros fichiers, la lecture de vidéos HD rapidement et en douceur. Et jusqu'à 10 000 pieds carrés de couverture vous permet de dire adieu à la zone aveugle wifi. 3 Modes D'application : ce répéteur Wi - Fi dispose de 3 modes avec mode AP / répéteur / 2 ports Ethernet. Le mode répéteur est utilisé pour étendre la couverture Wi - fi d'un réseau sans fil existant. Le mode AP est utilisé pour couvrir un réseau câblé à un réseau sans fil. Deux ports Ethernet facilitent la connexion à n'importe quel périphérique Ethernet câblé. LARGE COMPATIBIcLITÉ : Repeteur wifi puissant prend en charge 45 appareils, compatible avec les téléphones portables, tablettes, ordinateurs portables, téléviseurs intelligents, caméras de sécurité, imprimantes et autres connexions d'appareils. Les extendeurs sans fil offrent des fonctionnalités de données rapides et sans interférence pour vos appareils domestiques. Wifi Enhancer pour étendre facilement la portée de votre réseau Wifi domestique et connecter tous vos appareils mobiles sans avoir à acheter plus d'appareils. Mode de liaison Multifonction : AP - wifi 1200 Mbps wifi extender sans fil compatible avec Wifi 4 / 5 / 6, wifi 4: 802.11n / G / G / B, wifi 5: 802.11n / G / B / AC, wifi 6: 802.11n / G / G / B / AC / ax avec port LAN / Wan pour tous les routeurs, routeurs et modems. Installation Facile du Répéteur Wifi : Il suffit de suivre les étapes du Manuel pour connecter le répéteur wifi et étendre facilement la couverture sans fil en seulement 1 minute pour vous connecter à votre appareil. Le processus d'installation est clair et facile, sans aucune difficulté. (si vous rencontrez des problèmes lors de l'installation, redémarrez votre routeur pour résoudre le problème).
Mise à jour du système et installation des prérequis
Un système à jour est la base d’une bonne sécurité. Avant toute chose, connectez-vous en SSH à votre Raspberry Pi et lancez les commandes de mise à jour :
- sudo apt update
- sudo apt upgrade
Ensuite, l’outil recommandé pour gérer les certificats Let’s Encrypt est Certbot. La méthode d’installation la plus fiable est d’utiliser snapd, un système de gestion de paquets. Pour l’installer, exécutez la commande sudo apt install snapd. Une fois l’installation terminée, il est conseillé de redémarrer votre appareil pour que tous les services soient correctement initialisés.
-
Raspberry Pi 4 Modèle B (4 Go)Broadcom BCM2711, Quad Core Cortex-A72 (ARM v8) SoC 64 bits @ 1,5 GHz 1 Go, 2 Go, 4 Go ou 8 Go LPDDR4-3200 SDRAM (selon le modèle) 2,4 GHz et 5,0 GHz IEEE 802.11ac sans fil, Bluetooth 5.0, BLE Gigabit Ethernet 2 ports USB 3.0, 2 ports USB 2.0. Raspberry Pi En-tête GPIO 40 broches standard (entièrement rétrocompatible avec les cartes précédentes) -
Raspberry Pi 4 4 Go Starter Kit | Alimentation Officielle 15W | Boîtier Officiel | Carte mémoire de 64 Go | Câble 4k Micro HDMI | Kit dissipateur Thermique✔ Raspberry Pi 4 avec 4 Go de RAM : ordinateur monocarte puissant pour des projets et applications polyvalents. ✔ Alimentation officielle 15W : Alimentation stable et fiable pour votre Raspberry Pi 4. ✔ Boîtier officiel : Protège votre Raspberry Pi et assure un refroidissement optimal lors d'une utilisation intensive. ✔ Carte mémoire 64 Go : offre un stockage généreux pour votre système d'exploitation, vos applications et vos fichiers. ✔ Lecteur de cartes USB pour cartes mémoire : configuration simple et rapide de votre système d'exploitation sur votre PC ou ordinateur portable. ✔ Ensemble de dissipateurs thermiques en aluminium 4 pièces : refroidissement supplémentaire pour des performances et une longévité fiables. ✔ Câble Micro HDMI 4K 1 mètre : parfait pour une sortie vidéo ultra-nette sur des moniteurs ou téléviseurs 4K compatibles. ✔ Emballage db-tronic de haute qualité : Emballage robuste et élégant, idéal pour une expédition en toute sécurité et comme cadeau. -
Raspberry Pi 4 Modèle B (1 Go)Broadcom BCM2711, SoC quadricœur Cortex-A72 (ARM v8) 64 bits à 1,5 GHz 1 Go, 2 Go, 4 Go ou 8 Go de SDRAM LPDDR4-3200 (selon le modèle) Sans fil IEEE 802.11ac 2,4 GHz et 5,0 GHz, Bluetooth 5.0, BLE Gigabit Ethernet 2 ports USB 3.0 ; 2 ports USB 2.0. En-tête GPIO 40 broches standard Raspberry Pi (entièrement rétrocompatible avec les cartes précédentes)"
L’importance d’un nom de domaine
Un certificat SSL est intrinsèquement lié à un nom de domaine (par exemple, mondomaine.fr). Il est impossible de générer un certificat pour une simple adresse IP publique. Vous devez donc posséder un nom de domaine. De nombreux fournisseurs comme OVH ou Gandi en proposent à des tarifs très abordables, parfois pour quelques euros par an. Une fois acquis, vous devrez configurer son enregistrement DNS de type ‘A’ pour qu’il pointe vers l’adresse IP publique de votre domicile. Pour ceux qui disposent d’une adresse IP dynamique, des services de DNS dynamique (DDNS) comme No-IP ou Dynu peuvent être utilisés pour maintenir la liaison entre le nom de domaine et votre IP changeante.
Avec un système à jour, un accès externe configuré et un nom de domaine pointant vers votre installation, les prérequis sont remplis pour passer à l’étape de la génération du certificat lui-même.
Procédure de création et de renouvellement du certificat Let’s Encrypt
Installation de Certbot via Snap
Une fois snapd installé et fonctionnel, l’installation de Certbot devient très simple. Il suffit d’exécuter une seule commande dans le terminal pour obtenir la dernière version de l’outil. Cette méthode garantit que Certbot sera automatiquement mis à jour, ce qui est essentiel pour la sécurité et la compatibilité. La commande à utiliser est la suivante : sudo snap install –classic certbot. Après l’installation, il peut être nécessaire de créer un lien symbolique pour que la commande certbot soit directement accessible : sudo ln -s /snap/bin/certbot /usr/bin/certbot.
Lancement de la commande de création
Pour générer votre premier certificat ou pour le renouveler manuellement, vous utiliserez la commande certbot. La méthode autonome (standalone) est souvent la plus simple sur un Raspberry Pi car elle lance un mini serveur web temporaire uniquement pour la validation. Assurez-vous qu’aucun autre service (comme Apache ou Nginx) n’écoute sur le port 80, ou arrêtez-le temporairement. La commande est : sudo certbot certonly –standalone. Certbot vous posera alors quelques questions :
- Votre adresse e-mail : pour les notifications d’expiration et les alertes de sécurité.
- Acceptation des conditions d’utilisation.
- Le nom de domaine exact à certifier (par exemple, jeedom.mondomaine.fr).
Si la validation réussit, Certbot vous confirmera que le certificat a été généré et vous indiquera son emplacement sur le disque.
Vérification et emplacement des fichiers
Les fichiers du certificat sont stockés dans un répertoire spécifique, généralement /etc/letsencrypt/live/votredomaine.com/. Il est crucial de bien identifier cet emplacement. Vous y trouverez plusieurs fichiers, mais les plus importants pour la configuration de vos services sont :
| Nom du fichier | Description |
|---|---|
| fullchain.pem | Le certificat de votre domaine ainsi que tous les certificats intermédiaires nécessaires. C’est ce fichier qu’il faut utiliser. |
| privkey.pem | Votre clé privée. Ce fichier doit rester confidentiel et ne jamais être partagé. |
Une fois ces fichiers en votre possession, vous pouvez procéder à la configuration de vos applications domotiques pour qu’elles les utilisent.
Configurer Jeedom pour utiliser le certificat SSL
Accéder à la configuration du serveur web
Jeedom s’appuie sur un serveur web, le plus souvent Apache2, pour fonctionner. La configuration de ce dernier doit être modifiée pour activer le SSL et lui indiquer où trouver les fichiers du certificat. Les fichiers de configuration d’Apache se trouvent généralement dans /etc/apache2/sites-available/. Il vous faudra éditer le fichier correspondant à votre site Jeedom, ou le fichier de configuration SSL par défaut.
Modification du fichier de configuration
Dans le fichier de configuration du VirtualHost pour le port 443 (HTTPS), vous devez spécifier les chemins vers les fichiers de certificat que nous avons identifiés précédemment. Les directives à ajouter ou à modifier ressemblent à ceci :
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/votredomaine.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/votredomaine.com/privkey.pem
Ces lignes activent le moteur SSL et pointent vers votre certificat et votre clé privée. L’idée est de vérifier la syntaxe et de s’assurer que les chemins sont exacts.
Redémarrage du service et vérification
Après avoir enregistré les modifications, il est indispensable de redémarrer le serveur Apache pour qu’elles soient prises en compte. La commande pour cela est sudo systemctl restart apache2. Une fois le service redémarré, ouvrez votre navigateur et tentez d’accéder à votre interface Jeedom en utilisant https://. Vous devriez voir un cadenas dans la barre d’adresse, indiquant que la connexion est bien sécurisée. Cliquez dessus pour vérifier les détails du certificat et sa date d’expiration.
La configuration est similaire pour d’autres systèmes domotiques, comme Home Assistant, qui requiert également que son serveur web interne soit correctement paramétré.
Intégration et configuration du certificat dans Home Assistant
Configuration via le fichier configuration.yaml
Pour Home Assistant, la configuration du SSL se fait directement dans son fichier principal, configuration.yaml. Il faut y ajouter ou décommenter la section http. À l’intérieur de cette section, vous devez spécifier les chemins vers votre certificat et votre clé privée. La syntaxe est simple et directe :
http: ssl_certificate: /etc/letsencrypt/live/votredomaine.com/fullchain.pem ssl_key: /etc/letsencrypt/live/votredomaine.com/privkey.pem
Il est crucial de respecter l’indentation (les espaces en début de ligne) qui est fondamentale dans les fichiers YAML. Une erreur d’indentation empêchera Home Assistant de démarrer correctement.
Redémarrage de Home Assistant et test de l’accès
Comme pour Jeedom, toute modification de la configuration principale nécessite un redémarrage du service pour être appliquée. Vous pouvez le faire depuis l’interface utilisateur dans les « Outils de développement » puis l’onglet « YAML », ou en ligne de commande avec sudo systemctl restart hassio-supervisor (la commande peut varier selon votre type d’installation). Une fois redémarré, Home Assistant ne sera plus accessible via HTTP mais uniquement via HTTPS sur le port 8123 (par défaut) : https://votredomaine.com:8123. Le cadenas de sécurité dans votre navigateur confirmera le succès de l’opération.
Utiliser les add-ons pour simplifier la gestion
Pour les utilisateurs de Home Assistant OS ou Supervised, il existe une méthode encore plus simple. La boutique d’add-ons propose des outils comme « Let’s Encrypt » ou « Nginx Proxy Manager ». Ces add-ons gèrent automatiquement la création, l’installation et le renouvellement des certificats SSL. Ils agissent comme un proxy inverse, gérant toute la complexité du chiffrement en amont de Home Assistant. C’est une solution fortement recommandée pour les débutants car elle réduit considérablement le risque d’erreur de configuration manuelle.
La mise en place manuelle ou assistée du certificat est une étape essentielle, mais la véritable tranquillité d’esprit vient de l’assurance que ce processus se répétera sans intervention de votre part.
Automatisation du renouvellement du certificat avec des outils domotiques
Planifier le renouvellement avec crontab
La force de Certbot réside dans sa capacité à automatiser le renouvellement. Pour cela, on utilise un planificateur de tâches standard sous Linux : cron. Le paquet Snap de Certbot configure d’ailleurs souvent une tâche cron automatiquement. Pour vérifier ou la créer manuellement, éditez la table cron avec la commande sudo crontab -e. Vous pouvez y ajouter une ligne pour exécuter la commande de renouvellement deux fois par jour :
0 3,15 * * * /usr/bin/certbot renew –quiet
Cette ligne demande au système de lancer la commande certbot renew tous les jours à 3h00 et 15h00. L’option –quiet évite de produire une sortie si tout se passe bien. Certbot est intelligent : il ne renouvellera le certificat que s’il est sur le point d’expirer (généralement dans les 30 derniers jours de sa validité), donc lancer la commande fréquemment ne pose aucun problème.
Tester la configuration de renouvellement
Avant de laisser votre cron fonctionner en autonomie, il est sage de tester la procédure. Certbot fournit une commande de simulation très pratique : sudo certbot renew –dry-run. Cette commande effectue toutes les étapes d’un vrai renouvellement, y compris la communication avec les serveurs de Let’s Encrypt, mais sans installer de nouveaux certificats. Si la simulation se termine par un message de succès, vous pouvez être certain que le renouvellement automatique fonctionnera le moment venu.
Scripts de post-renouvellement pour une intégration parfaite
Lorsqu’un certificat est renouvelé, les fichiers sur le disque sont mis à jour. Cependant, les services comme Apache, Jeedom ou Home Assistant qui ont chargé l’ancien certificat en mémoire doivent être redémarrés pour utiliser le nouveau. Certbot permet d’exécuter automatiquement des commandes après un renouvellement réussi grâce aux « hooks ». Vous pouvez placer des scripts de redémarrage dans le répertoire /etc/letsencrypt/renewal-hooks/deploy/. Un simple script qui contient la ligne systemctl restart apache2 sera exécuté après chaque renouvellement, assurant une transition transparente et sans interruption de service sécurisé.
La sécurisation d’une installation domotique sur Raspberry Pi avec un certificat SSL Let’s Encrypt est une démarche structurée mais accessible. De la préparation du système à l’automatisation complète du renouvellement, chaque étape contribue à bâtir une forteresse numérique pour votre foyer. La configuration correcte de Jeedom et Home Assistant pour utiliser ce chiffrement est la touche finale qui garantit la confidentialité de vos données. En maîtrisant ce processus, vous assurez non seulement la sécurité de votre installation, mais aussi sa pérennité et votre tranquillité d’esprit.
