Attention, ce billet se traine depuis plus de 3 mois. Les informations qu'il contient ne sont peut-être plus à jour.

Fin d’année, fin des certificats, coucou LetsEncrypt !

Rédigé par dada / 31 décembre 2015 / 8 commentaires

Quand j’écris ce genre de titre, je me demande toujours comment je vais faire pour pondre un billet convenable. Pas grave, essayons :

Alors, ce serveur et celui de diaspote.org (vous savez, le pod diaspora* ) traînaient deux types de certificats : celui offert par Gandi pour dadall.info et un StartSSL pour diaspote. Rien de très reluisant, ni très fiable, alors cette fin d’année et leurs dates d'expirations m'ont motivé pour me lancer dans l'utilisation de LetsEncrypt .

Une fois en place, voici ce qu'on peut maintenant admirer :

Pas mal, non ?

L'utilisation est passablement simple pour ceux qui ont l'habitude de jouer avec des certificats. Le script est à exécuter avec comme paramètre le nom de domaine et les sous domaines qui nous intéressent. Les certificats apparaissent tout seuls et y'a plus qu'à configurer Apache/Nginx. Un restart et c'est terminé.

La seule chose un peu contraignante, c'est qu'il ne faut pas oublier que ces certificats ne sont valables que pour une durée de 90 jours. Certains râleront mais les raisons sont multiples : forcer le renouvellement de certificats entretient le niveau de sécurité et force l'utilisation des dernières configurations efficaces. Ajouter un rappel à son agenda est donc un bon réflexe !

8 commentaires

#1 jeudi 31 décembre 2015 - 10:27 - Augier a dit :

> La seule chose un peu contraignante, c'est qu'il ne faut pas oublier que ces certificats ne sont valables que pour une durée de 90 jours. Certains râleront mais les raisons sont multiples : forcer le renouvellement de certificats entretient le niveau de sécurité et force l'utilisation des dernières configurations efficaces.

Oui, ou alors un bon script bash et un cron... :D

Répondre

#2 jeudi 31 décembre 2015 - 10:27 - iServfr a dit :

Bonjour dada :),

Merci pour l'article, j'ai fait le changement et tout s'est bien passé et surtout merci pour le lien de test pour Qualys SSL Labs. par contre j'ai un B sur key exchange et je ne comprends pas trop pourquoi, la config nginx sûrement, si quelqu'un a un conseil je suis preneur https://www.ssllabs.com/ssltest/analyze.html?d=iserv.fr

Bonnes et joyeuses fêtes du Nouvel an

Répondre

#3 jeudi 31 décembre 2015 - 14:57 - dada a dit :

@Augier, j'y pense mais je dois prendre en main le principe de révocation du certificat et sa régénération. Ça ce trouve, c'est pas assez trivial pour un cron.

@IServfr : Coucou ! Pour perfectionner ta configuration, je t'encourage à lire ce long billet : https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
C'est très long mais ça vaut le coup ! Bonnes fêtes à toi aussi :)

Répondre

#4 vendredi 01 janvier 2016 - 15:12 - aeris a dit :

Encore un petit effort !
https://tls.imirhil.fr/https/www.dadall.info
Il y a des suites non PFS qui traînent dans ta config, ça n’est pas bon :)

Répondre

#5 samedi 02 janvier 2016 - 12:11 - dada a dit :

@Aeris : yep, j'ai fait cette configuration il a quelques temps et il me semble que ça permettait aux plus mal équipés des internautes de quand même afficher ce site.

Je referai une passe sur la conf quand j'aurai un peu plus de temps.

Et merci pour tes articles !

Répondre

#6 dimanche 03 janvier 2016 - 18:23 - Philippe Scoffoni a dit :

Pour ce qui est du script de mise à jour, il y en a un par ici : https://vincent.composieux.fr/article/installer-configurer-et-renouveller-automatiquement-un-certificat-ssl-let-s-encrypt

Répondre

#7 mercredi 06 janvier 2016 - 00:20 - dada a dit :