Messages: 1847

Enregistré le: 31 Aoû 2007

Message le Mer Déc 30, 2015 21:53

Bon, si vous n'avez pas suivi, letsencrypt propose, depuis quelques jours maintenant des certificats SSL gratuits.
Il faut être sur serveur dédié, je pense qu'OVH va le proposer sur son mutu, de même que Gandi sous peu, étant donné qu'ils sont partenaires de l'opération.
Donc si vous êtes sur dédié :
https://letsencrypt.readthedocs.org/en/latest/using.html#installation

Ayant abandonné Apache depuis quelques années sur mes serveurs persos, je ne pourrais vous faire des retours si vous en avez besoin que sur lighttpd ou nginx. Peut-être que d'ici quelques jours certains de mes clients auront besoin sur du Apache et que je pourrais vous faire des retours propre si besoin.

Sur lighttpd (Attention commandes en vrac, vous devez un peu savoir ce que vous faisez):
Code: Tout sélectionner
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --renew-by-default --rsa-key-size 4096 --webroot -w /home/dossier1/ -d domaine1

Génerez un dh (Diffie–Hellman)
Code: Tout sélectionner
openssl dhparam -out dhparam.pem 4096

Générez la clé :
Code: Tout sélectionner
cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/ssl.pem

Dans votre conf lighttpd :
Code: Tout sélectionner
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/letsencrypt/live/domaine1/ssl.pem"
ssl.ca-file = "/etc/letsencrypt/live/domaine1/fullchain.pem"
ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
ssl.ec-curve = "secp384r1"
ssl.use-compression = "disable"
ssl.use-sslv3 = "disable"
ssl.honor-cipher-order = "enable"
ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-CBC-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-SHA:DES-CBC3-SHA:AES256-SHA256 AES128-SHA256 AES256-SHA AES128-SHA !RC4-SHA !SSLv2"
        $HTTP["host"] =~ "^domaine1$" {
                server.document-root = "/home/domaine1/"
                dir-listing.activate = "disable"
        }
}
Haut
20 Réponses
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Mer Déc 30, 2015 22:50

Déjà adopté depuis plusieurs semaines, merci Julia41 ;)
Haut
Messages: 37923

Enregistré le: 7 Juil 2004

Message le Jeu Déc 31, 2015 0:31

Bonjour,

Merci d'avoir passé le mot sur le forum. ;)

Cordialement.
Haut
Messages: 1847

Enregistré le: 31 Aoû 2007

Message le Jeu Déc 31, 2015 1:47

spout a écrit:Déjà adopté depuis plusieurs semaines, merci Julia41 ;)

J'avais commencé à poster il y a quelques jours et en fait je pensais me faire censurer car le titre fait vraiment spam :p

Pareil niveau adoption, mais par contre je commence "enfin" à prendre ça en main proprement "ces jours-ci" ;)
Haut
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Jeu Déc 31, 2015 1:50

Idem, j'me suis un peu cassé la tête avec https://www.ssllabs.com/ssltest/analyze.html :D
Haut
Messages: 1847

Enregistré le: 31 Aoû 2007

Message le Jeu Déc 31, 2015 2:09

spout a écrit:Idem, j'me suis un peu cassé la tête avec https://www.ssllabs.com/ssltest/analyze.html :D

Sur mon exemple sur du lighttpd, avec les headers :Strict-Transport-Security" => "max-age=31556926",
J'ai du A+ :p
Haut
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Jeu Déc 31, 2015 11:30

Code: Tout sélectionner
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";

Oui avec ceci dans nginx ça permet d'obtenir le A+ aussi.
Haut
Messages: 621

Enregistré le: 18 Avr 2003

Message le Jeu Déc 31, 2015 13:09

Infomaniak a câblé les certificats Let's encrypt, et mes premières remarques sont :
- Les certificats ont une validité de 90j, c'est cool (et sécurisé) si l'hébergeur les renouvelle automatiquement, sinon ça vous fera pas mal de boulot par rapport à un renouvellement annuel
- Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs
Haut
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Jeu Déc 31, 2015 13:12

Digit a écrit:- Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs

Il suffit de faire une manip supplémentaire pour avoir du Diffie-Hellman 4096 bits

https://memo-linux.com/configurer-le-serveur-web-nginx-en-https-avec-l ... an-jessie/
Haut
Messages: 23074

Enregistré le: 19 Avr 2002

Message le Jeu Déc 31, 2015 19:25

Merci à vous pour vos contributions qui pourront aider d'autres membres de WRI (ou lecteurs du forum) !
Haut
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Ven Mar 04, 2016 22:14

Script shell pour obtenir le certificat letsencrypt:
https://github.com/Neilpang/le
Haut
Messages: 37923

Enregistré le: 7 Juil 2004

Message le Ven Mar 04, 2016 22:16

Bonjour,

Merci Spout pour tous les compléments.

Cordialement.
Haut
Messages: 100

Enregistré le: 23 Jan 2013

Message le Mer Mar 09, 2016 16:48

Bonjour,

Quelqu'un connaît un tutoriel pour l'utiliser avec ISPConfig ?
Haut
Messages: 531

Enregistré le: 2 Juil 2015

Message le Mer Juin 15, 2016 8:36

Bonjour,

Et aussi pour l'utiliser sous Windows Server 2008 R2 avec Xampp ?

Je me casse les dents sur le letsencrypt-win-simple depuis plusieurs jours.

http://forum.webrankinfo.com/let-encrypt-sous-windows-server-pour-xamp ... 86922.html
Haut
Messages: 8505

Enregistré le: 14 Mai 2003

Message le Mer Juin 15, 2016 9:04

@Drew: étant donné qu'il n'y a pas bcp de sysadmin/devops sur WRI, et encore moins pour du winzobe et XAMPP, tu auras plus de chance là: https://community.letsencrypt.org/
Haut
Messages: 531

Enregistré le: 2 Juil 2015

Message le Mer Juin 15, 2016 9:06

Merci beaucoup spout pour se lien, je vais poster une requête, en effet c'est trop spécifique ce combo de la mort lol !

Je croise les doigts.
Haut
Messages: 643

Enregistré le: 19 Nov 2006

Message le Jeu Fév 16, 2017 23:20

Bonjour,

Actuellement j'étudie Let's encrypt pour une migration en https,
en regardant le graphe de https://ct.tacticalsecret.com/
il est en train d'exploser tous les compteurs

Letsencrypt va tuer le bizness des sites de certification payant.
Haut
Messages: 531

Enregistré le: 2 Juil 2015

Message le Jeu Fév 16, 2017 23:41

Déjà que tout hébergeur sérieux propose de l'https gratuit depuis quelques mois, surement à cause de la démocratisation de let's encrypt, c'est clair que l'htts payant ça va devenir...
Haut
Messages: 100

Enregistré le: 23 Jan 2013

Message le Ven Fév 24, 2017 15:37

Cependant, Let's Encrypt n'autorise pas, à ce jour, le wildcard.
Haut
Messages: 34

Enregistré le: 3 Déc 2010

Message le Jeu Mar 30, 2017 20:41

1 and 1 me propose un certifcat SSL gratuit pour mon hebergement pour un seul site web, comme j'ai plusieurs sites web 2 sur plateforme comment faire
merci d'avance, avec OVH j'ai pas ce problème, mais j'ai un client chez 1and1
Haut
Messages: 531

Enregistré le: 2 Juil 2015

Message le Ven Mar 31, 2017 8:47

Comment faire ?
Je dirais que tu devrais contacter 1&1 pour qu'il te réponde sur cette question précise.
Haut