SSL sur vos sites gratuits grâce à letsencrypt

Julia41 · 30 Décembre 2015

Bon, si vous n'avez pas suivi, letsencrypt propose, depuis quelques jours maintenant des certificats SSL gratuits.
Il faut être sur serveur dédié, je pense qu'OVH va le proposer sur son mutu, de même que Gandi sous peu, étant donné qu'ils sont partenaires de l'opération.
Donc si vous êtes sur dédié :
https://letsencrypt.readthedocs.org/en/latest/using.html#installation

Ayant abandonné Apache depuis quelques années sur mes serveurs persos, je ne pourrais vous faire des retours si vous en avez besoin que sur lighttpd ou nginx. Peut-être que d'ici quelques jours certains de mes clients auront besoin sur du Apache et que je pourrais vous faire des retours propre si besoin.

Sur lighttpd (Attention commandes en vrac, vous devez un peu savoir ce que vous faisez):

Code:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --renew-by-default --rsa-key-size 4096 --webroot -w /home/dossier1/ -d domaine1

Génerez un dh (Diffie–Hellman)

Code:

openssl dhparam -out dhparam.pem 4096

Générez la clé :

Code:

cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/ssl.pem

Dans votre conf lighttpd :

Code:

$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/letsencrypt/live/domaine1/ssl.pem"
ssl.ca-file = "/etc/letsencrypt/live/domaine1/fullchain.pem"
ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
ssl.ec-curve = "secp384r1"
ssl.use-compression = "disable"
ssl.use-sslv3 = "disable"
ssl.honor-cipher-order = "enable"
ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-CBC-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-SHA:DES-CBC3-SHA:AES256-SHA256 AES128-SHA256 AES256-SHA AES128-SHA !RC4-SHA !SSLv2"
        $HTTP["host"] =~ "^domaine1$" {
                server.document-root = "/home/domaine1/"
                dir-listing.activate = "disable"
        }
}

spout · 30 Décembre 2015

Déjà adopté depuis plusieurs semaines, merci Julia41

Madrileño · 30 Décembre 2015

Bonjour,

Merci d'avoir passé le mot sur le forum.

Cordialement.

Julia41 · 31 Décembre 2015

spout a dit:
Déjà adopté depuis plusieurs semaines, merci Julia41

J'avais commencé à poster il y a quelques jours et en fait je pensais me faire censurer car le titre fait vraiment spam

Pareil niveau adoption, mais par contre je commence "enfin" à prendre ça en main proprement "ces jours-ci"

spout · 31 Décembre 2015

Idem, j'me suis un peu cassé la tête avec https://www.ssllabs.com/ssltest/analyze.html

Julia41 · 31 Décembre 2015

spout a dit:
Idem, j'me suis un peu cassé la tête avec https://www.ssllabs.com/ssltest/analyze.html

Sur mon exemple sur du lighttpd, avec les headers :Strict-Transport-Security" => "max-age=31556926",
J'ai du A+

spout · 31 Décembre 2015

Code:

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";

Oui avec ceci dans nginx ça permet d'obtenir le A+ aussi.

Digit · 31 Décembre 2015

Infomaniak a câblé les certificats Let's encrypt, et mes premières remarques sont :
- Les certificats ont une validité de 90j, c'est cool (et sécurisé) si l'hébergeur les renouvelle automatiquement, sinon ça vous fera pas mal de boulot par rapport à un renouvellement annuel
- Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs

spout · 31 Décembre 2015

Digit a dit:
- Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs

Il suffit de faire une manip supplémentaire pour avoir du Diffie-Hellman 4096 bits

https://memo-linux.com/configurer-le-serveur-web-nginx-en-https-avec-l ... an-jessie/

WebRankInfo · 31 Décembre 2015

Merci à vous pour vos contributions qui pourront aider d'autres membres de WRI (ou lecteurs du forum) !

spout · 4 Mars 2016

Script shell pour obtenir le certificat letsencrypt:
https://github.com/Neilpang/le

Madrileño · 4 Mars 2016

Bonjour,

Merci Spout pour tous les compléments.

Cordialement.

manoa.ratefiarison · 9 Mars 2016

Bonjour,

Quelqu'un connaît un tutoriel pour l'utiliser avec ISPConfig ?

spout · 15 Juin 2016

@Drew: étant donné qu'il n'y a pas bcp de sysadmin/devops sur WRI, et encore moins pour du winzobe et XAMPP, tu auras plus de chance là: https://community.letsencrypt.org/

Topsitemaker · 16 Février 2017

Bonjour,

Actuellement j'étudie Let's encrypt pour une migration en https,
en regardant le graphe de https://ct.tacticalsecret.com/
il est en train d'exploser tous les compteurs

Letsencrypt va tuer le bizness des sites de certification payant.

manoa.ratefiarison · 24 Février 2017

Cependant, Let's Encrypt n'autorise pas, à ce jour, le wildcard.

aiel62 · 30 Mars 2017

1 and 1 me propose un certifcat SSL gratuit pour mon hebergement pour un seul site web, comme j'ai plusieurs sites web 2 sur plateforme comment faire
merci d'avance, avec OVH j'ai pas ce problème, mais j'ai un client chez 1and1