SSL sur vos sites gratuits grâce à letsencrypt

WRInaute passionné
Bon, si vous n'avez pas suivi, letsencrypt propose, depuis quelques jours maintenant des certificats SSL gratuits.
Il faut être sur serveur dédié, je pense qu'OVH va le proposer sur son mutu, de même que Gandi sous peu, étant donné qu'ils sont partenaires de l'opération.
Donc si vous êtes sur dédié :
https://letsencrypt.readthedocs.org/en/latest/using.html#installation

Ayant abandonné Apache depuis quelques années sur mes serveurs persos, je ne pourrais vous faire des retours si vous en avez besoin que sur lighttpd ou nginx. Peut-être que d'ici quelques jours certains de mes clients auront besoin sur du Apache et que je pourrais vous faire des retours propre si besoin.

Sur lighttpd (Attention commandes en vrac, vous devez un peu savoir ce que vous faisez):
Code:
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --renew-by-default --rsa-key-size 4096 --webroot -w /home/dossier1/ -d domaine1
Génerez un dh (Diffie–Hellman)
Code:
openssl dhparam -out dhparam.pem 4096
Générez la clé :
Code:
cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/ssl.pem
Dans votre conf lighttpd :
Code:
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/letsencrypt/live/domaine1/ssl.pem"
ssl.ca-file = "/etc/letsencrypt/live/domaine1/fullchain.pem"
ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
ssl.ec-curve = "secp384r1"
ssl.use-compression = "disable"
ssl.use-sslv3 = "disable"
ssl.honor-cipher-order = "enable"
ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-CBC-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-SHA:DES-CBC3-SHA:AES256-SHA256 AES128-SHA256 AES256-SHA AES128-SHA !RC4-SHA !SSLv2"
        $HTTP["host"] =~ "^domaine1$" {
                server.document-root = "/home/domaine1/"
                dir-listing.activate = "disable"
        }
}
 
WRInaute passionné
spout a dit:
Déjà adopté depuis plusieurs semaines, merci Julia41 ;)
J'avais commencé à poster il y a quelques jours et en fait je pensais me faire censurer car le titre fait vraiment spam :p

Pareil niveau adoption, mais par contre je commence "enfin" à prendre ça en main proprement "ces jours-ci" ;)
 
WRInaute accro
Code:
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
Oui avec ceci dans nginx ça permet d'obtenir le A+ aussi.
 
WRInaute occasionnel
Infomaniak a câblé les certificats Let's encrypt, et mes premières remarques sont :
- Les certificats ont une validité de 90j, c'est cool (et sécurisé) si l'hébergeur les renouvelle automatiquement, sinon ça vous fera pas mal de boulot par rapport à un renouvellement annuel
- Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs
 
Olivier Duffez (admin)
Membre du personnel
Merci à vous pour vos contributions qui pourront aider d'autres membres de WRI (ou lecteurs du forum) !
 
Nouveau WRInaute
1 and 1 me propose un certifcat SSL gratuit pour mon hebergement pour un seul site web, comme j'ai plusieurs sites web 2 sur plateforme comment faire
merci d'avance, avec OVH j'ai pas ce problème, mais j'ai un client chez 1and1
 
Discussions similaires
Haut