• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Salut, j'ai une petite question.

Dans ma config nginx je redirige toutes les requêtes http en https. Dans ce cas, le HSTS est vraiment utile ?
Ou alors il est préférable que je retire la redirection, que je mette le HSTS ?

Merci !

HTST permet que le navigateur redirige directement vers l'HTTPS, donc tu économises une requête, et un temps de réponse plus long 😉

6 jours plus tard

j'ai renouvelé mon certificat ce matin et j'ai vu que mon fichier /etc/nginx/ssl/params.conf n'était pas identique à celui du tuto. Du coup j'ai mis celui recommandé par le tuto et j'ai eu quelques soucis.

J'ai du transformé ssl_session_cache shared:SSL:50m en ssl_session_cache shared:SSL:10m et j'aussi du supprimer add_header X-Robots-Tag none; sinon nginx ne se lançait pas

Concrètement les modifications que j'ai du faire pour pouvoir relancer nginx ça change quoi par rapport au tuto ?

Salut,

j'obtiens ceci "ssl_stapling" ignored, issuer certificate not found, le site fonctionne donc ce n'est pas bien grave on dirait ?

@seb_c_bi1
Pas de grands changements dans tes modifs. Tu as juste réduit la taille du cache des sessions SSL mais c'est déjà largement assez.
Par contre pour le X-Robot-Tag tente de mettre des guillemets autour de none. Sinon moi j'ai ça comme paramètre : add_header X-Robots-Tag "noindex, nofollow, nosnippet, noarchive";

@LetsGo67 : Tu ne dois pas avoir le certificat de l'autorité de certif dans ta chaine SSL. Un peu de lecture : http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling

@Nebukad

Merci pour ton aide, j'ai mis ton paramètre ça passe nikel.

Il faudra juste que je regarde pourquoi je ne peux pas mettre 50M sur la taille du cache.

Je pense que ce n'est pas trop grave de laisser 10m. Sur le site de Nginx ils disent que 1m permet de stocker 4000 sessions, donc à part si ton site à un trafic monstrueux, ça devrait passer comme ça

Non pour le moment j'ai juste ma seedbox et mon emby alors avec 10M c'est déjà trop. Non mais par curiosité dès que j'aurai 5 min je creuserai la question.

@Nebukad j'ai fait que suivre le tutoriel... merci pour le lien, je m'y pencherais dessus à l'occasion, pour le moment j'ai remis par défaut.

12 jours plus tard

petite question, conseillez vous certbot ou lets encrypt ? Quelle est la différence ?

    flipper Cerbot est en fait le nouveau nom du client LE, donc c'est la même chose 😉 Et pour avoir eu l'opportunité de tester les 2 solutions il faut reconnaître que c'est bien plus simple avec Cerbot.

      Sinon y'a aussi le tutoriel lié à cette discussion 😉 J'aime beaucoup Korben mais quand il parle de sécu/SSL avec son CloudFlare... J'ai un peu de mal. Même si je me doute qu'avec son trafic il lui faut bien une solution de cache adéquate.

      du coup le tutoriel de cette discussion est toujours d'actualité ? Je peux l'appliquer sans soucis ?

        22 jours plus tard

        Bonjour, j'ai fait ce tuto il y a 90 jours, du coup le certificat est expirer.
        J'ai donc fait les commandes requise pour le renouveller.
        Mais j'ai une erreur qui apparait lorsque que je fait la commande :

        ./certbot-auto renew

        La commande me retourne à la fin :

        python is already the newest version.
python-dev is already the newest version.
python-virtualenv is already the newest version.
virtualenv is already the newest version.
libssl-dev is already the newest version.
openssl is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Creating virtual environment...
Installing Python packages...
Traceback (most recent call last):
  File "/tmp/tmp.Pk2XOeFS9P/pipstrap.py", line 146, in <module>
    exit(main())
  File "/tmp/tmp.Pk2XOeFS9P/pipstrap.py", line 133, in main
    shell=True)
  File "/usr/local/lib/python2.7/subprocess.py", line 219, in check_output
    raise CalledProcessError(retcode, cmd, output=output)
subprocess.CalledProcessError: Command 'pip install --no-index --no-deps -U /tmp/pipstrap-FdDkII/pip-8.0.3.tar.gz /tmp/pipstrap-FdDkII/setuptools-20.2.2.tar.gz /tmp/pipstrap-FdDkII/wheel-0.29.0.tar.gz' returned non-zero exit status 1

        J'ai rencontré des soucis avec python lors d'une mise à jour de sickrage, donc ce n'est pas le même python que j'ai depuis le dernier certificat crée.
        J'ai essayer d'installer différentes version de pip à la main mais rien ne change
        Merci par avance !

        • winz a répondu à ça.
          6 jours plus tard

          geekso J'ai exactement le même problème que toi :/ (j'ai aussi chipoter pour faire marcher SR)

          Urgemment besoin d'aide, je ne sais plus renouveler mes certifs 🙁

            Salut,

            J'aide pas vraiment mais de mon côté RAS quand j'exécute mon CRON à la main : (ne tenez pas compte des options)

            sudo /usr/local/sbin/certbot-auto --hsts --rsa-key-size 4096 --uir --staple-ocsp --must-staple renew >> /var/log/le-renew.log
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for mails.XXX
Waiting for verification...
Cleaning up challenges
Generating key (4096 bits): /etc/letsencrypt/keys/0004_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0004_csr-certbot.pem

            Et le cert est bien généré

            Issued On	Wednesday, May 3, 2017 at 3:05:00 PM
Expires On	Tuesday, August 1, 2017 at 3:05:00 PM

            Debian 8 / Python 2.7.9 (je sais... plus vieux tu meures).
            Faudrait réinstaller Cerbot pour tester.

            Voila qq infos si ca peut aider

            root@KS-WinZ:/tmp# python --version
Python 2.7.13

root@KS-WinZ:/tmp# pip --version
pip 9.0.1 from /usr/local/lib/python2.7/dist-packages (python 2.7)

root@KS-WinZ:/tmp# command -v pip
/usr/local/bin/pip

root@KS-WinZ:/tmp# command -v python
/usr/local/bin/python