• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la



une âme charitable suggérez ce bonus ?

Cordialement
A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ?
Solinvictus wrote:
Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la



une âme charitable suggérez ce bonus ?

Cordialement
A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ? 😛
Pour les tetes en l'aire qui ne regarde pas specialement la date de fin de leur certificat je suppose que oui
Diesel wrote:
Solinvictus wrote:
Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la



une âme charitable suggérez ce bonus ?

Cordialement
A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ? 😛
Pour les tete en l'aire qui ne regarde pas specialement la date de fin de leur certificat je suppose que oui 😛
Oui, sur ce point, je te rejoins
Je te laisse mettre à jour le tuto Magic, je suis en plein déménagement.
salut, je sais pas si c'est possible d'avoir letsencrypt sur mon vsftpd ? j'ai essayé mais on dirait qu'il veut pas des .pem enfin je sais pas trop
Jedediah wrote:Je te laisse mettre à jour le tuto Magic, je suis en plein déménagement.
Voilà j'ai fais la mise à jour.
comment doit on faire si on a plusieurs nom de domaine ?

merci
Tu peux bien évidemment utiliser plusieurs NDD avec Let's Encrypt, il suffit de les passer au paramètre -d lors de la génération d'un certificat.
Juste une précision concernant la configuration nginx, dans le cas présent ce n'est pas utile de générer les paramètres statiques DH (supprimer la directive ssl_dhparam) puisque dans la liste des ciphers il n'y a aucun algo DHE uniquement ECDHE :
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
Dans le cas des courbes elliptiques ECDHE, la directive ssl_ecdh_curve est suffisante. Voila, c'est toujours bon à savoir et ça fait gagner du temps.
je dois saisir ce code ?
./letsencrypt-auto --help all
./letsencrypt-auto certonly -d
Hardware wrote:Juste une précision concernant la configuration nginx, dans le cas présent ce n'est pas utile de générer les paramètres statiques DH (supprimer la directive ssl_dhparam) puisque dans la liste des ciphers il n'y a aucun algo DHE uniquement ECDHE :
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
Dans le cas des courbes elliptiques ECDHE, la directive ssl_ecdh_curve est suffisante. Voila, c'est toujours bon à savoir et ça fait gagner du temps.
C'est ce que j'allais dire aussi justement. Pas besoin de dhparam si ECDHE est utilisé.

Au passage, comme on en avait discuté hier soir, secp521r1 n'est pas supporté par Chrome et Internet Explorer.
Donc si vous vos sites ont vocation à être utilisé par des personnes diverses et pas forcément à la pointe de la sécurité, baisser cette valeur à secp384r1 (ECDHE 384bits, quasiment aussi sûr).
bjr, pour les débutants comme moi je peux l'installer ou vaut il mieux que j'attende une version finale? Merci
allan84 wrote:bjr, pour les débutants comme moi je peux l'installer ou vaut il mieux que j'attende une version finale? Merci
Tu peux l'installer mais tu devras générer un autre certificat dans 90j
xataz wrote:Pour le faire en une commande (pratique pour des scripts d'auto génération, pour mettre à jour le cert) : 
./letsencrypt-auto certonly --agree-tos -m contact@domain.tld -d mail.domain.tld -d domain.tld -d www.domain.tld
Je propose cette petite update un poil plus pratique à utiliser, et pour éviter de casser les sites trop longtemps (à moins qu'il faille faire autrement que de couper nginx qui utilise déjà le port 80 ?) : 
domain=site.com; \
service nginx stop \
&& cd /root/letsencrypt \
&& ./letsencrypt-auto certonly --agree-tos --rsa-key-size 4096 -m admin@$domain -d mail.$domain -d $domain -d www.$domain \
&& service nginx start
(changer le chemin du cd par le dossier bien entendu)
Salut,

Pour apache il suffit de lancer le script comme ceci et de se laisser guider 
./letsencrypt-auto --rsa-key-size 4096
L'installation du(des) certificat(s) est automatiquement faite par le script par la création d'un(des) virtualhost.

Pour la configuration manuelle en utilisant 
./letsencrypt-auto certonly --rsa-key-size 4096
Il suffit ensuite d'ajouter un VirtualHost pour le https comme ceci (créer un fichier monsite-ssl.conf dans /etc/apache2/sites-available/): 
<IfModule mod_ssl.c>
          <VirtualHost *:443>

                    <--------mettre ici contenu de votre virtualhost existant sans ssl------------->

                    SSLCertificateFile /etc/letsencrypt/live/<www.monsite.tld>/fullchain.pem
                    SSLCertificateKeyFile /etc/letsencrypt/live/<www.monsite.tld>/privkey.pem
                    Include /etc/letsencrypt/options-ssl-apache.conf
          </VirtualHost>
</IfModule>
Pour activer le virtualhost 
a2ensite /etc/apache2/sites-available/<fichier crée>
un petit 
apache2ctl configtest
pour vérifier qu'on n'as pas fait de coquille
et un 
service restart apache2
pour que apache prenne en compte les modifications.
Si jamais il se plain d'un mod ssl manquant un 
a2enmod ssl
et 
service apache2 restart
devrais corriger le problème.

Voila bonne navigation en https !
21 jours plus tard
Bonjour,

J'ai suivi le tuto a la virgule près et j'obtiens un A aux tests. Y a t il d'autres paramètres à prendre en compte pour l'obtention du A+ ?
laster13 wrote:Bonjour,

J'ai suivi le tuto a la virgule près et j'obtiens un A aux tests. Y a t il d'autres paramètres à prendre en compte pour l'obtention du A+ ?
Je me suis penché sur la question, objectivement obtenir un A+ à part si t'est une banque et que tu veux faire plaisir à tes client en disant on à la plus grosse sécu en https, bof ça sert à ... rien !

Si tu veux t'amuser tu peut regarder les résultats de ssllabs (https://www.ssllabs.com/ssltest/index.html) pour affiner tes réglages.
Merci pour ta réponse. Pour infos je me bats avec Free pour obtenir mon reverse dns. Je ne les lâche pas et j'appelle tous les 3 jours environ. Impossible d'obtenir gain de cause. Aucune explication cohérente de leur part si ce n'est que je suis sur une liste d'attente, qu'à priori il n'y a qu'une seule personne qui s’occupe de çà et que cela se fait manuellement .. Bref c'est une prise tète à chaque appel. Je suis dégouté. Pourtant lorsque je vais sur ma console (interface web) le reverse est enregistré, ce qu'ilS confirment mais il n'est pas activé. C'était pour faitre suite à nos échanges en MP et te tenir informer
8 jours plus tard
Je viens de faire actuellement le tutoriel et j'ai des remarques.
CryptCheck: A+
ssllabs: A+

La, je l'ai fais sur la racine du site.

J'ai refais l'installation pour rajouter les sous domaines et tout fonctionne après des petits changements pour forcer le https.