SSL sur vos sites gratuits grâce à letsencrypt

Discussion dans 'Administration d'un site Web' créé par Julia41, 30 Décembre 2015.

  1. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 837
    J'aime reçus:
    0
    Bon, si vous n'avez pas suivi, letsencrypt propose, depuis quelques jours maintenant des certificats SSL gratuits.
    Il faut être sur serveur dédié, je pense qu'OVH va le proposer sur son mutu, de même que Gandi sous peu, étant donné qu'ils sont partenaires de l'opération.
    Donc si vous êtes sur dédié :
    https://letsencrypt.readthedocs.org/en/latest/using.html#installation

    Ayant abandonné Apache depuis quelques années sur mes serveurs persos, je ne pourrais vous faire des retours si vous en avez besoin que sur lighttpd ou nginx. Peut-être que d'ici quelques jours certains de mes clients auront besoin sur du Apache et que je pourrais vous faire des retours propre si besoin.

    Sur lighttpd (Attention commandes en vrac, vous devez un peu savoir ce que vous faisez):
    Code:
    git clone https://github.com/letsencrypt/letsencrypt
    cd letsencrypt
    ./letsencrypt-auto certonly --renew-by-default --rsa-key-size 4096 --webroot -w /home/dossier1/ -d domaine1
    Génerez un dh (Diffie–Hellman)
    Code:
    openssl dhparam -out dhparam.pem 4096
    Générez la clé :
    Code:
    cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/ssl.pem
    Dans votre conf lighttpd :
    Code:
    $SERVER["socket"] == ":443" {
    ssl.engine = "enable"
    ssl.pemfile = "/etc/letsencrypt/live/domaine1/ssl.pem"
    ssl.ca-file = "/etc/letsencrypt/live/domaine1/fullchain.pem"
    ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
    ssl.ec-curve = "secp384r1"
    ssl.use-compression = "disable"
    ssl.use-sslv3 = "disable"
    ssl.honor-cipher-order = "enable"
    ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-CBC-SHA:DHE-RSA-AES256-CBC-SHA256:DHE-RSA-AES128-SHA:DES-CBC3-SHA:AES256-SHA256 AES128-SHA256 AES256-SHA AES128-SHA !RC4-SHA !SSLv2"
            $HTTP["host"] =~ "^domaine1$" {
                    server.document-root = "/home/domaine1/"
                    dir-listing.activate = "disable"
            }
    }
    
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
    Déjà adopté depuis plusieurs semaines, merci Julia41 ;)
     
  3. Madrileño
    Madrileño Madribot
    Inscrit:
    7 Juillet 2004
    Messages:
    38 039
    J'aime reçus:
    108
    Bonjour,

    Merci d'avoir passé le mot sur le forum. ;)

    Cordialement.
     
  4. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 837
    J'aime reçus:
    0
    J'avais commencé à poster il y a quelques jours et en fait je pensais me faire censurer car le titre fait vraiment spam :p

    Pareil niveau adoption, mais par contre je commence "enfin" à prendre ça en main proprement "ces jours-ci" ;)
     
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
  6. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 837
    J'aime reçus:
    0
    Sur mon exemple sur du lighttpd, avec les headers :Strict-Transport-Security" => "max-age=31556926",
    J'ai du A+ :p
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
    Code:
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
    Oui avec ceci dans nginx ça permet d'obtenir le A+ aussi.
     
  8. Digit
    Digit WRInaute impliqué
    Inscrit:
    18 Avril 2003
    Messages:
    608
    J'aime reçus:
    1
    Infomaniak a câblé les certificats Let's encrypt, et mes premières remarques sont :
    - Les certificats ont une validité de 90j, c'est cool (et sécurisé) si l'hébergeur les renouvelle automatiquement, sinon ça vous fera pas mal de boulot par rapport à un renouvellement annuel
    - Chrome mentionne que la méthode de chiffrement est obsolète, ce qui est confirmé par ssllabs
     
  9. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
  10. WebRankInfo
    WebRankInfo Admin
    Membre du personnel
    Inscrit:
    19 Avril 2002
    Messages:
    22 964
    J'aime reçus:
    45
    Merci à vous pour vos contributions qui pourront aider d'autres membres de WRI (ou lecteurs du forum) !
     
  11. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
  12. Madrileño
    Madrileño Madribot
    Inscrit:
    7 Juillet 2004
    Messages:
    38 039
    J'aime reçus:
    108
    Bonjour,

    Merci Spout pour tous les compléments.

    Cordialement.
     
  13. manoa.ratefiarison
    manoa.ratefiarison WRInaute discret
    Inscrit:
    23 Janvier 2013
    Messages:
    98
    J'aime reçus:
    0
    Bonjour,

    Quelqu'un connaît un tutoriel pour l'utiliser avec ISPConfig ?
     
  14. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
    @Drew: étant donné qu'il n'y a pas bcp de sysadmin/devops sur WRI, et encore moins pour du winzobe et XAMPP, tu auras plus de chance là: https://community.letsencrypt.org/
     
  15. Topsitemaker
    Topsitemaker WRInaute impliqué
    Inscrit:
    19 Novembre 2006
    Messages:
    641
    J'aime reçus:
    0
    Bonjour,

    Actuellement j'étudie Let's encrypt pour une migration en https,
    en regardant le graphe de https://ct.tacticalsecret.com/
    il est en train d'exploser tous les compteurs

    Letsencrypt va tuer le bizness des sites de certification payant.
     
  16. manoa.ratefiarison
    manoa.ratefiarison WRInaute discret
    Inscrit:
    23 Janvier 2013
    Messages:
    98
    J'aime reçus:
    0
    Cependant, Let's Encrypt n'autorise pas, à ce jour, le wildcard.
     
  17. aiel62
    aiel62 Nouveau WRInaute
    Inscrit:
    3 Décembre 2010
    Messages:
    33
    J'aime reçus:
    0
    1 and 1 me propose un certifcat SSL gratuit pour mon hebergement pour un seul site web, comme j'ai plusieurs sites web 2 sur plateforme comment faire
    merci d'avance, avec OVH j'ai pas ce problème, mais j'ai un client chez 1and1