Blog de dada

DevOps, bidouilleur et routard plein de logiciels libres

SSL

Fin d’année, fin des certificats, coucou LetsEncrypt !

Rédigé par dada / 31 décembre 2015 / 8 commentaires


Quand j’écris ce genre de titre, je me demande toujours comment je vais faire pour pondre un billet convenable. Pas grave, essayons :

Alors, ce serveur et celui de diaspote.org (vous savez, le pod diaspora* ) traînaient deux types de certificats : celui offert par Gandi pour dadall.info et un StartSSL pour diaspote. Rien de très reluisant, ni très fiable, alors cette fin d’année et leurs dates d'expirations m'ont motivé pour me lancer dans l'utilisation de LetsEncrypt .

Une fois en place, voici ce qu'on peut maintenant admirer :




Pas mal, non ?

L'utilisation est passablement simple pour ceux qui ont l'habitude de jouer avec des certificats. Le script est à exécuter avec comme paramètre le nom de domaine et les sous domaines qui nous intéressent. Les certificats apparaissent tout seuls et y'a plus qu'à configurer Apache/Nginx. Un restart et c'est terminé.

La seule chose un peu contraignante, c'est qu'il ne faut pas oublier que ces certificats ne sont valables que pour une durée de 90 jours. Certains râleront mais les raisons sont multiples : forcer le renouvellement de certificats entretient le niveau de sécurité et force l'utilisation des dernières configurations efficaces. Ajouter un rappel à son agenda est donc un bon réflexe !

Note de service : StartCom en rade

Rédigé par dada / 05 avril 2015 / Aucun commentaire


Mise à jour
, 06/04 : La situation est revenue à la normale. Une panne de courant est à l'origine de la panne.


Billet rapide pour vous confirmer que la vérification des certificats SSL provenant de StartCom ne s'effectue plus depuis ce weekend. Ils rencontrent des difficultés serveurs.

L'information est confirmée sur leur forum. Ce problème ne se manifeste que sous Mozilla Firefox puisqu'il semblerait que ce soit le seul navigateur à s’inquiéter en permanence de la validité de ces derniers. C'est assez choquant de voir IE, Chrome & co ne pas réagir.

Ce blog n'est pas concerné mais le pod diaspora* d'Augier et de moi-même, diaspote.org, se sert d'un de leur certificat. Il n'est donc plus accessible depuis Firefox.

Pour contourner le problème, vous pouvez temporairement vous passer de la vérification OCSP en décochant l'option dans les préférences / Avancé / Certificats de votre navigateur.