Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Let’s Encrypt supporte désormais IPv6

À qui le tour ?

Let's Encrypt supporte désormais IPv6

Le 29 juillet 2016 à 08h40

C'est fait. L'équipe de Let's Encrypt vient d'annoncer que son infrastructure permettant de délivrer des certificats SSL/TLS était désormais entièrement compatible avec IPv6. Une nouvelle étape est franchie, mais ce n'est pas la dernière.

C'est une annonce que certains attendaient depuis longtemps, elle est désormais réalité : Let's Encrypt supporte l'IPv6. Une étape importante pour le projet qui ne l'utilisait que partiellement jusque là. Cela lui permet de s'adapter à des systèmes qui utilisent exclusivement IPv6 et non plus IPv4, ce qui va devenir de plus en plus courant maintenant que la transition commence à être bien entamée, même si énormément de travail reste à faire.

L'équipe va désormais se consacrer sur ses deux prochains défis : le support des domaines internationalisés (IDN) attendu pour la fin de l'année, et le passage à un certificat intermédiaire utilisant ECDSA (Elliptic Curve Digital Signature Algorithm) plutôt que RSA. Cela devrait être le cas avant le 31 mars 2017.

Actuellement, Let's Encrypt assure le fonctionnement de plus de 4 millions de certificats (non expirés), un chiffre qui semble atteindre un palier depuis quelques semaines après une croissance assez constante sur un an. Après le .com (33,8 %), c'est désormais le .de qui est le domaine le plus utilisé (10,5 %), la France n'étant plus désormais qu'à 2,07 % après les .net, .org, .me, .io et .uk.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je suis vraiment très content de ce service !



Enfin la possibilité d’avoir des vrais certificats gratuit, avec une installation (sous Debian) vraiment très simple.



Que ça continue !

votre avatar

Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.

votre avatar

C’est vrai, mais ils ont voulu faire une solution clé en main pour que le néophyte puisse installé sans trop de souci.



Après moi j’utilise la config “standard” que j’adapte à mes besoins en amont, mais j’imagine que c’est que le début et que dans le futur on aura plus d’option.



Mais je ne peux pas dire le contraire en tout cas <img data-src=" />

votre avatar

Désolé, je suis un n00b, mais ça fait quoi exactement Let’s encrypt &nbsp;? (chiffrer j’entends bien, mais quoi exactement)

votre avatar







shadowfox a écrit :



Désolé, je suis un n00b, mais ça fait quoi exactement Let’s encrypt &nbsp;? (chiffrer j’entends bien, mais quoi exactement)





Ça délivre gratuitement des certificats SSL valide (et donc reconnu comme tel par les navigateurs), pour faire de l’HTTPS.


votre avatar

Oh mais c’est génial ça ! Merci pour ta réponse.&nbsp;<img data-src=" />

votre avatar

Regarde le client acme-tiny

Moi ça correspond tout à fait à mon besoin

votre avatar

j’ai un site hébergé chez OVH…puis sans rien faire OVH a mis des cetificat SSL Let’s Encrypt (coooool)

depuis tout mes sites sont accessible en https avec le cadenas vert qui va bien



bref https et zéro conf. Merci Let’s Encrypt et Merci OVH (partenaire Gold il me semble)





edit : mise en forme

votre avatar







Altair31 a écrit :



Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.





C’est libre donc tu dois pouvoir facilement cloner les script en question et faire la modif qui va bien pour toi.


votre avatar

Installé sur un serveur dédié avec nginx, ça fonctionne très bien même s’il faut configurer partiellement à la main (mais bon, nginx, c’est tellement simple à configurer !).



Par contre, je tape PA pour que le forum l’ai, il y a une configuration DNS particulière qui empêche que ça fonctionne <img data-src=" />

votre avatar

Pour pinailler, ce sont des certificats TLS. SSL, son prédécesseur est déclaré obsolète et souffre de nombreuses failles de sécurité.

votre avatar

si seulement ca pouvait bouger la sphère de l’internet francais pour avoir de l’ipv6 partout..

votre avatar

Le fait que de plus en plus d’abonnés Orange, le propose va faire bouger les choses. Avec Free et Orange, l’IPv6 devient pertinent pour les sites commerciaux et grands publics.



Je pense que quand Orange aura fini le basculement de ses abonnés, il aura une accélération. Mais il faudrait que Bouygues et SFR se bouge le cul, les petits FAI n’ont pas ce problème.



Enfin, il faudrait surtout que les grands hébergeurs français comme OVH ou Gandhi propose par défaut IPv6 et IPv4 sur les serveurs et les DNS avec possibilité de le désactiver.

votre avatar







seb2411 a écrit :



C’est libre donc tu dois pouvoir facilement cloner les script en question et faire la modif qui va bien pour toi.





Mouais, j’ai pas nécessairement envie de me plonger dans leur code surtout que c’est codé en Python (langage où tu fous tout en vrac dans un fichier de 10000 lignes).

Surtout pour juste préciser où doivent être enregistrés les 4 fichiers de sortie.







PtiDidi a écrit :



Regarde le client acme-tiny

Moi ça correspond tout à fait à mon besoin





Je testerai mais ça à l’air de correspondre à mes besoins. Merci !


votre avatar

C’est déjà le cas depuis longtemps chez OVH…

votre avatar

Pour 2018, Let’s encrypt s’attaquerat-il à DANE ??





On est trolldi <img data-src=" />

votre avatar







Soriatane a écrit :



Pour pinailler, ce sont des certificats TLS. SSL, son prédécesseur est déclaré obsolète et souffre de nombreuses failles de sécurité.





Merci pour la précision&nbsp;<img data-src=" />


votre avatar

Question de noob (flemmard aussi) en tant que professionnel on peut aussi s’en servir pour son entreprise ?

votre avatar







Soriatane a écrit :



Enfin, il faudrait surtout que les grands hébergeurs français comme OVH ou Gandhi propose par défaut IPv6 et IPv4 sur les serveurs et les DNS avec possibilité de le désactiver.





Pour l’IPv6 les deux le proposent (si c’est pas systématique déjà), et pour le IaaS de Gandi tu peux aussi ne pas demander d’IPv4 depuis longtemps (et ça coûte moins cher en faisant ça, les v4 étant facturées contrairement aux v6)


votre avatar

oui

votre avatar

Bonne nouvelle, j’utilisais déjà LetsEncrypt sur mon domaine et sous domaines, mon seul souci étant que ma config https soit configurée sur le port 4443 (ce qui en limite l’accès sur certains hotspots publics), mais bon pas tellement le choix, si je veux accéder au serveur via OpenVPN sur une borne publique, pas d’autre moyen sûr et fonctionnel que de lui réserver le port 443…

votre avatar







Altair31 a écrit :



Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.



Ton “script de déploiement” ?!?

Tu fais un coup de letsencript certonly, tu configures manuellement ton apache pour utiliser ces certificats une fois pour toutes, et puis c’est tout. Un cron qui fait un letsencript renew tous les mois, et c’est bon.

Que veux-tu scripter ?

&nbsp;&nbsp;


votre avatar

Ca c’est pour des cas simples ;)



Si tu ne veux pas exécuter un script pêché sur un répository Git avec les droits root sur une machine de production, c’est pas la même !



Personnellement, j’ai déployé un serveur spécifique pour faire du Let’s Encrypt juste à cause de ça.

Et puis ranger les certificats n’importe où sans vraiment te laisser le choix, je trouve ça hyper naze.

votre avatar

tu peux essayer d’utiliser un multiplexeur pour mettre OpenVPN et https sur le même port :

github.com GitHubgithub.com GitHub

votre avatar







Altair31 a écrit :



Ca c’est pour des cas simples ;)



Si tu ne veux pas exécuter un script pêché sur un répository Git avec les droits root sur une machine de production, c’est pas la même !

&nbsp;

Personnellement, j’ai déployé un serveur spécifique pour faire du Let’s Encrypt juste à cause de ça.

Et puis ranger les certificats n’importe où sans vraiment te laisser le choix, je trouve ça hyper naze.



Pas besoin des droits root pour le mode certonly.

Quant à l’endroit où tu ranges les certificats, il suffit que /etc/letsencrypt soit un lien symbolique (ce que je fais).


votre avatar

Merci du partage, je regarderais ça à l’occasion sur mon serveur local pour tester. :)

votre avatar

Tu admettras tout de même que si tu ne sais pas où sont stockés par défaut ces pns de certificats, tu te prends des erreurs si tu n’est pas en root.

Et puis patcher un défaut de conception avec des liens c’est pas mon truc.

votre avatar

Il y a plein d’options :)

&nbsp;

–config-dir, par exemple, qui te permet de définir où sont les configurations. Les certificats sont placés dans un sous répertoire “live” de ce répertoire. La valeur par défaut est “/etc/letsencrypt”.



Sur mes serveurs, Let’s Encrypt a son propre utilisateur, sans aucun droit particulier, et ça fonctionne très bien. Il est installé dans un virtualenv, et peut juste générer ses certificats.



&nbsp;Note, pour le renew : Je préfère l’exécuter chaque jour, plutôt que chaque mois. Quand on a plus de 5 certificats sur le serveur, ça devient vital (limite de certificats émis par semaine) :)

Le client letsencrypt ne va de toutes façons envoyer des requêtes aux serveurs que pour les certificats qui ont moins de 30 jours de validité.

votre avatar







Altair31 a écrit :



Tu admettras tout de même que si tu ne sais pas où sont stockés par défaut ces pns de certificats, tu te prends des erreurs si tu n’est pas en root.

Et puis patcher un défaut de conception avec des liens c’est pas mon truc.





Rien ne t’empêche d’éditer le chemin racine dans le script. Critiquer cette solution uniquement pour ça, c’est léger. On parle pas d’un installeur en binaire là, on parle d’un script dont les sources sont visibles et modifiables.


votre avatar

Pourquoi installer le client Let’s Encrypt dans un virtualenv ?

votre avatar







NeoYoH a écrit :



Je suis vraiment très content de ce service !



Enfin la possibilité d’avoir des vrais certificats gratuit, avec une installation (sous Debian) vraiment très simple.



Que ça continue !





“Vrais” certificats, c’est vite dit. C’est vrai que le certificat est valide, par contre il y a aucun moyen d’être sûr que le site derrière appartient bien au propriétaire du certificat ;)


votre avatar







Nb5 a écrit :



“Vrais” certificats, c’est vite dit. C’est vrai que le certificat est valide, par contre il y a aucun moyen d’être sûr que le site derrière appartient bien au propriétaire du certificat ;)







Oui malheureusement, il y a encore beaucoup de progrès à faire pour que la notion de “cadenas = sécu” disparaisse.

Toute cette “sécurité” repose sur une chaîne de confiance… Il suffit de tomber sur un réseau public un peu menteur qui redirige, en HTTPS avec Saint Cadenas, vers une imitation de site vérolée, et bim. Ou encore de trafic HTTPS redirigé vers du HTTP.



Si Let’s Encrypt est une excellente initiative (je l’utilise personnellement pour mon Owncloud et mes services auto hébergés), il faut espérer qu’il n’y ait pas de détournement malhonnête de ce service.

J’ose espérer qu’il y a un minimum de vérification, probablement à posteriori.


votre avatar

Ben, personnellement, j’ai déjà eu à gérer des migrations de bibliothèques dont les sources avaient été patchées en interne. Je te raconte pas le bordel que c’est.



Donc, pour faire simple, je n’ai ni le temps ni l’envie de faire de patch, et je trouve hallucinant qu’il n’y ai pas une doc CLI digne de ce nom (et ne me parlez pas du –help tout pourri).



Je ne critique en rien l’initiative Let’s Encrypt mais juste le client “officiel” qui semble juste être un script de test qui fait le café plutôt qu’un vrai script pour les clients.

votre avatar

C’est activé par défaut ou bien c’est l’IPv6 est une option que l’on doit volontairement activé?

votre avatar

Ca dépends des offres, ça fait un moment que je ne suis pas allé voir toutefois. A priori sur les VPS OVH/Online l’IPv6 n’est plus dispo :/

votre avatar







Altair31 a écrit :



Donc, pour faire simple, je n’ai ni le temps ni l’envie de faire de patch, et je trouve hallucinant qu’il n’y ai pas une doc CLI digne de ce nom (et ne me parlez pas du –help tout pourri).







https://certbot.eff.org/docs/

https://certbot.eff.org/docs/using.html#command-line-options



Perso j’ai descendu le certificat et configuré mon Apache en 5 minutes avec les trois lignes de commandes fournies dans le getting started.



Bon, j’ai un peu triché, avant j’avais un auto signé donc la config Apache était déjà faite.


Let’s Encrypt supporte désormais IPv6

Fermer