Blog de dada

DevOps, bidouilleur et routard plein de logiciels libres

Attention, ce billet se traine depuis plus de 3 mois. Les informations qu'il contient ne sont peut-être plus à jour.


Fin d’année, fin des certificats, coucou LetsEncrypt !

Rédigé par dada / / 8 commentaires


Quand j’écris ce genre de titre, je me demande toujours comment je vais faire pour pondre un billet convenable. Pas grave, essayons :

Alors, ce serveur et celui de diaspote.org (vous savez, le pod diaspora* ) traînaient deux types de certificats : celui offert par Gandi pour dadall.info et un StartSSL pour diaspote. Rien de très reluisant, ni très fiable, alors cette fin d’année et leurs dates d'expirations m'ont motivé pour me lancer dans l'utilisation de LetsEncrypt .

Une fois en place, voici ce qu'on peut maintenant admirer :




Pas mal, non ?

L'utilisation est passablement simple pour ceux qui ont l'habitude de jouer avec des certificats. Le script est à exécuter avec comme paramètre le nom de domaine et les sous domaines qui nous intéressent. Les certificats apparaissent tout seuls et y'a plus qu'à configurer Apache/Nginx. Un restart et c'est terminé.

La seule chose un peu contraignante, c'est qu'il ne faut pas oublier que ces certificats ne sont valables que pour une durée de 90 jours. Certains râleront mais les raisons sont multiples : forcer le renouvellement de certificats entretient le niveau de sécurité et force l'utilisation des dernières configurations efficaces. Ajouter un rappel à son agenda est donc un bon réflexe !

8 commentaires

#1  - Augier a dit :

> La seule chose un peu contraignante, c'est qu'il ne faut pas oublier que ces certificats ne sont valables que pour une durée de 90 jours. Certains râleront mais les raisons sont multiples : forcer le renouvellement de certificats entretient le niveau de sécurité et force l'utilisation des dernières configurations efficaces.

Oui, ou alors un bon script bash et un cron... :D

Répondre
#2  - iServfr a dit :

Bonjour dada :),

Merci pour l'article, j'ai fait le changement et tout s'est bien passé et surtout merci pour le lien de test pour Qualys SSL Labs. par contre j'ai un B sur key exchange et je ne comprends pas trop pourquoi, la config nginx sûrement, si quelqu'un a un conseil je suis preneur https://www.ssllabs.com/ssltest/analyze.html?d=iserv.fr

Bonnes et joyeuses fêtes du Nouvel an

Répondre
#3  - dada a dit :

@Augier, j'y pense mais je dois prendre en main le principe de révocation du certificat et sa régénération. Ça ce trouve, c'est pas assez trivial pour un cron.

@IServfr : Coucou ! Pour perfectionner ta configuration, je t'encourage à lire ce long billet : https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
C'est très long mais ça vaut le coup ! Bonnes fêtes à toi aussi :)

Répondre
#4  - aeris a dit :

Encore un petit effort !
https://tls.imirhil.fr/https/www.dadall.info
Il y a des suites non PFS qui traînent dans ta config, ça n’est pas bon :)

Répondre
#5  - dada a dit :

@Aeris : yep, j'ai fait cette configuration il a quelques temps et il me semble que ça permettait aux plus mal équipés des internautes de quand même afficher ce site.

Je referai une passe sur la conf quand j'aurai un peu plus de temps.

Et merci pour tes articles !

Répondre
#6  - Philippe Scoffoni a dit :

Pour ce qui est du script de mise à jour, il y en a un par ici : https://vincent.composieux.fr/article/installer-configurer-et-renouveller-automatiquement-un-certificat-ssl-let-s-encrypt

Répondre
#7  - dada a dit :

Merci pour l'info @Philippe, à tester !

Répondre
#8  - dada a dit :

J'viens de voir passer ça aussi :https://memo-linux.com/mon-petit-script-pour-renouveler-mes-certificats-lets-encrypt/

Répondre

Fil RSS des commentaires de cet article

Écrire un commentaire

Quelle est la quatrième lettre du mot mircw ?