Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Let’s Encrypt en bêta publique : des certificats SSL gratuits pour tous

Toutes les fonctionnalités ne sont pas encore là

Let's Encrypt en bêta publique : des certificats SSL gratuits pour tous

Le 04 décembre 2015 à 10h40

L’initiative Let’s Encrypt, qui cherche à proposer des certificats SSL à tous ceux qui en auraient besoin, vient de lancer enfin sa bêta publique. Une étape importante puisque tous les détenteurs de sites peuvent désormais demander un certificat gratuit. Pour autant, tout n’est pas encore terminé.

Les certificats SSL sont un maillon essentiel, quoiqu’imparfait, de la chaine de sécurité sur le web. Un certificat agit essentiellement sur deux points il est utilisé comme une carte d’identité qui permet aux navigateurs de le reconnaître pour ce qu’il prétend être : un site authentique, le certificat indiquant notamment le nom de l’entreprise. Il est également obligatoire pour mettre en place des communications chiffrées pour protéger les données de l’utilisateur.

Des certificats SSL gratuits

Le problème principal des certificats, outre les soucis que peut rencontrer une autorité de certification faisant mal son travail, est qu’ils sont parfois payants. En fonction des besoins, la facture peut même être salée pour un petit détenteur de site ou une jeune entreprise. Et il lui faudra ensuite procéder à son installation.

D’où l’initiative Let's Encrypt, qui se propose de fournir gratuitement des certificats mis en service automatiquement. Elle est proposée par une alliance baptisée Internet Security Research Group (ISRG), qui regroupe notamment Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akami, Cisco et Automatic.

Le mois dernier, l’initiative avait franchi une étape importante : un accord avait été signé avec l’autorité de certification IdenTrust, permettant aux certificats ainsi générés d’être reconnus par pratiquement tous les navigateurs existants. Qu’on parle de Chrome, Firefox, Internet Explorer, Opera, Safari ou Edge, le petit cadenas vert apparaît donc bien à gauche de la barre d’adresses. Mais le service ne permettait alors qu’un accès très restreint puisqu’il lançait à peine une phase privée de test.

La bêta publique ouvre les vannes

Ce n’est désormais plus le cas avec le lancement de la bêta publique. Techniquement, n’importe quel possesseur de site web peut demander un certificat et obtenir donc le précieux sésame. Le client fourni permet de simplifier les démarches d'installation en automatisant une bonne partie du processus. Selon l’Electronic Frontier Foundation, qui a donné la première impulsion à ce projet, Let's Encrypt devrait permettre d’en finir avec la complexité d’une étape qu’il viendrait de ne plus ignorer aujourd’hui : le chiffrement des échanges. Du moins quand il est possible.

Qui dit bêta publique dit également projet non terminé : soit toutes les fonctionnalités sont là avec un nombre potentiellement élevé de problèmes, soit leur nombre est réduit et évoluera dans les mois qui suivent. Pour Let's Encrypt, c’est le second cas puisque de nombreuses fonctionnalités manquent encore à l’appel, notamment le renouvellement totalement automatisé des certificats, le support des configurations automatiques et d’un plus grand nombre de serveurs (Nginx, postfix, exim et dovecot ne sont pas encore de la partie), ou encore de nouveaux outils pour aider l’utilisateur à se dépêtrer des éventuels soucis de configuration rencontrés sur des fonctionnalités comme HSTS (HTTP Strict Transport Security).

Il reste donc encore beaucoup de travail, et le bulletin de l’EFF indique d’ailleurs que toutes les bonnes volontés sont les bienvenues, en particulier les développeurs maitrisant le langage de script Python. En attendant, le client d’installation peut être utilisé en suivant la procédure décrite dans la documentation de Let's Encrypt. Plusieurs méthodes sont disponibles, y compris une avec Docker, mais l’ensemble est prévu pour fonctionner sur un serveur Linux avant tout. Un certain nombre de plugins est également disponible, notamment pour Apache, et d’autres seront ajoutés par la suite pour les serveurs IMAP, SMTP ou encore IRC.

La gratuité et la simplicité font mieux ressortir les problèmes restants

Notez bien que l’initiative, si elle devait remporter un franc succès, permettrait effectivement de jouer un rôle crucial dans la sécurité globale du web. De très nombreux sites ne proposent pas de chiffrement des échanges, même sur des parties essentielles comme la connexion du compte client et l’envoi de données sensibles. Mais un chiffrement intégral pour un site signifie aussi souvent se débarrasser complètement des publicités, ou s’arranger pour que les espaces publicitaires disposent eux du HTTPS, ce qui est complexe à obtenir.

Il s’agit d’une problématique que nous avions exposée il y a deux mois. La publicité est souvent considérée comme une gêne, mais un grand nombre de sites n’ont pas réellement le choix. De fait, l’initiative Let's Encrypt est d’autant plus intéressante qu’en supprimant les deux problèmes principaux – la complexité de mise en œuvre et le coût – elle fait ressortir les derniers ilots de résistance, tout en posant la question du pourquoi.

Commentaires (92)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et pour la validation, que font-ils ? Envoi d’email sur l’adresse du whois ?

votre avatar

Si, si. C’est toujours toi le produit.



Mais pour que tu continues à être un produit rentable, il faut que tu aies confiance dans le système mis en place. Et aujourd’hui, la confiance s’appelle “le petit cadenas”. Alors on va te proposer du “petit cadenas” partout, gratuitement.

votre avatar

non, ça c’est startssl.

ici l’adresse email est demandée uniquement à des fins de communication et peux être sur un autre domaine.

la validation se fait en direct: le client letsencrypt place un fichier défini sur ton serveur web, le serveur letsencrypt le récupère via l’adresse du domaine et en déduit que le serveur qu’il a modifié se trouve bien à l’autre bout du domaine interrogé. validation effectuée, certificat délivré, tout ça en automatique.



Pour l’instant ce n’est que pour le web, et très orienté Linux.

votre avatar

mouais, pour un vendredi on a connu mieux… <img data-src=" />

votre avatar

Pour certain, comme moi, ce n’est pas leur métier. :) Je suis dév, pas admin, mais par la force de chose j’ai dû l’être un peu. Et je me rends bien compte que ce sont des domaines qui n’ont rien à voir.

votre avatar

Merci :)

votre avatar

Boarf, je suis pas admin et encore moins dev <img data-src=" />



(mais le premier m’INtéresse beaucoup, au point d’être admin du dimanche et le deuxième aussi, mais c’est plus de math <img data-src=" />)

votre avatar







Pi3rr0t a écrit :



Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat.

 Ici, on ne sait plus, comment on fait confiance ?







Tu as 2 sortes de certificats en fait : les certificats standards et les certificats dits EV. Dans le premier cas ça t’assure juste que le domaine que tu visites est bien le propriétaire du domaine, dans le deuxième cela indique en plus que le propriétaire du domaine est une entité identifiée et publique (il faut être référencé dans un annuaire officiel à minima).



Il y a une petite différence de rendu dans la barre d’adresse sur les différents navigateurs selon le type de certificat.


votre avatar

Sauf qu’il faut soit payer un hébergeur qui accepte d’installer n’importe quel certificat, soit héberger son site soi-même.



Donc, si l’on ne peut pas faire d’auto-hébergement, SSL aura toujours un prix.

votre avatar

J’ai eu un peu de mal à voir le rapport en mon message et ta réponse <img data-src=" />

C’est intéressant comme méthode, mais c’est au final assez contraignant. De mon point de vue, si tu es obligé d’installer python et/ou un serveur web pour obtenir ton certificat, c’est beaucoup d’embêtement. Par exemple si j’en veux un pour mon NAS, qui a ma connaissance n’a pas python, et pour lequel ne n’ai pas totalement la main sur le serveur web, j’ai l’impression que je vais au devant de beaucoup d’embêtements.

votre avatar

Ouai, mais l’hébergement c’est une tout autre problématique à laquelle ne cherche pas à répondre Let’s Encrypt.



“La voiture ça ne marchera jamais parce qu’on ne peu pas passer les océans avec”.



Mais on peut espérer qu’avec leur initiative et leur com ils sensibiliseront les gens à la question,&nbsp; et que les choses évolueront aussi côté hébergement.

votre avatar

Un âme charitable pour sortir une appli (même payante à quelques €) pour Synology….?

votre avatar







Minikea a écrit :



mouais, pour un vendredi on a connu mieux… <img data-src=" />





Non, 127 a raison. S’il y a une silencieuse sur Let’s Encrypt, l’automatisation permettra de toucher bien plus de monde. Ce n’est pas la première autorité à se faire pirater des certificats.


votre avatar

en effet. pour un nas sur lequel on n’a pas forcément la main sur les services et le lerveur web en particulier, ça peut être un peu chaud.

après rien n’empêche de faire une redirection temporaire de ton NAT vers une petite machine avec un linux avec python, de générer les certificat puis de les récupérer et les utiliser sur ton NAS ensuite.

c’est galère, et certainement moins pratique qu’avec startssl pour le coup.



pour ma réponse, c’était parce que tu parlais de mail alors que la validation ne se fait pas comme ça.

votre avatar

J’ai pas mal de client avec des serveurs Exchange 2013 avec des certificats autosignés car il ne veulent pas débourser la somme. Ca fonctionne ou pas encore avec les certificat lets encrypt ? :P


votre avatar







Pi3rr0t a écrit :



Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat.

&nbsp;Ici, on ne sait plus, comment on fait confiance ?





Le certificat a deux rôles : la vérification de qui est derrière le certificat, et le chiffrement. Il y a de nombreux utilisateurs qui ont une utilité pour le chiffrement sans avoir forcément besoin de la vérification d’identité. Mon frère qui consulte son webmail, ou mes potes qui viennent sur mon forum privé savent déjà très bien qui est derrière le certificat et n’ont pas besoin de le vérifier, par exemple. Pourtant, ça m’intéresse tout à fait de leur proposer le forum en HTTPS, pour les petits malins qui surfent depuis le boulot par exemple. Idem quand j’accède à mon « bureau virtuel online » situé sur mon serveur : je tiens à ce que la connexion soit chiffrée, mais je n’ai pas besoin d’une vérification. Je pourrais utiliser un certificat autosigné, c’est sûr, mais c’est plus propre avec un certificat issu d’une CA légitime, et dans le cas de mes potes qui utilisent mon forum, ça m’évite de leur expliquer à chaque fois comment installer le root certificate de CAcert, qu’est-ce qu’une CA, qu’est-ce que CAcert, etc.



La vérification de l’identité est importante tout particulièrement quand tu fournis un service au public, comme du e-commerce. Dans ce cas, ça me parait cohérent de payer pour une vraie vérification d’identité. D’ailleurs, ce type de certificat inclut en général une prestation d’assurance, et le certificat est d’autant plus cher que les garanties sont élevées.


votre avatar

<img data-src=" /> Je vais passer une bonne journée.

votre avatar

Certificat X509 ! <img data-src=" />



Faut que je teste à l’occasion, mais je suis doute sur quelques points :





  • Quid des techniques de sécurité se basant sur un condensat du certificat ? Typiquement DANE et HPKP. Bon, HPKP, on peut utiliser le condensat du certificat de l’AC, mais DANE je suis pas sûr (est-ce souhaitable ?). DANE nécessitant de publier le condensat dans le DNS (et de le signer avec DNSSEC) faut être sûr de pas se louper

  • pour ceux comme moi qui aime changer de clef privée à chaque renouvellement, ça se passe comment en auto ?



    Bon par contre, il me semble que les certifs issus de clés ECDSA seront acceptés début 2016 <img data-src=" />

votre avatar

c’est automatique et simple.

en gros StartSSL il faut t’enregistrer chez eux, ils t’envoient un certificat pour t’authentifier sur leur site, ensuite tu authentifie un mail, ensuite tu peux commencer la procédure pour avoir un certificat non wildcard et pour 1 sous domaine uniquement.



là tu lance une commande depuis ton serveur et tu as ton certificat immédiatement (sans besoin de s’enregistrer au préalable) pour un sous domaine pour 90 jours sans restrictions de nombre de certificat (tu fais un certificat par sous domaine mais tu n’a aucune limite de nombre de certificat)

votre avatar

pour info, nginx est “supporté” expérimentalement. j’ai pas testé personnellement, je préfère passer par le standalone et redémarrer nginx une fois le certif mis au bon endroit (automatiquement)

votre avatar

Je vais attendre un peu d’avoir des retours mais ça a l’air très prometteur.

votre avatar

Honnêtement avec startssl j’ai fait mon domaine 3 et sous domaine il faut les faire un par un , pour un usage perso mis a part la révocation je vois pas ce que ça apporte de plus.



pour les info perso, mon nom et mon adresse sont des données publique donc je vois pas ce que ça change.

votre avatar

tu as passé combien de temps pour faire ton certificat chez startssl? et pour le renouveler?

là avec letsencrypt, c’est dans un crontab donc tu t’en occupe une fois (ça prend 5 minutes à faire la commande qui sied à ta configuration) et tu le laisse se faire en auto définitivement.

votre avatar

Mais moi je me pose une question, obligé d’avoir un serveur pour générer ton certificat ?

Parceque la je suis tenté de le mettre sur mon synology et du coup avec startssl j’ai juste rajouté les fichiers de certificat et non lancé une commande et installé qqch sur mon serveur…



Comment je pourrais faire dans mon cas ? :/

votre avatar

L’inscription environ 5 min, la création des 4 certifs et leur installation sous apache environ 10 min et encore je suis un noob, après oui il faut renouveler 1 fois par an.

votre avatar

A force de renouveller mon certificat “backup” (HPKP impose d’en avoir un deuxième) qui vient de CACert (tous les 6 mois), je change un certif (avec changement de clé privée donc), je le fais en moins de 10 minutes, tout à la main (ça permet de la garder <img data-src=" />, et de vérifier de visu qu’il n’y a pas d’erreur derrière)



Bon, faut pas avoir 150 certif à changer <img data-src=" />

votre avatar

tu peux faire la manip en manuelaussi, ça prend un peu plus de temps et ça diminue grandement l’intérêt de la chose. du moment que letsencrypt peux récupérer les informations et vérifier que les domaines que tu veux authentifier sont bien à toi.



attention, les certificat sont valide pour 90 jours max du fait de l’automatisation possible. cela afin de diminuer les impact d’un certificat qui serait compromis.

votre avatar







John Shaft a écrit :



A force de renouveller mon certificat “backup” (HPKP impose d’en avoir un deuxième) qui vient de CACert (tous les 6 mois), je change un certif (avec changement de clé privée donc), je le fais en moins de 10 minutes, tout à la main (ça permet de la garder <img data-src=" />, et de vérifier de visu qu’il n’y a pas d’erreur derrière)



Bon, faut pas avoir 150 certif à changer <img data-src=" />





quand on a l’habitude, je peux concevoir que ça prenne pas 4 ans… <img data-src=" />





AmonituX a écrit :



L’inscription environ 5 min, la création des 4 certifs et leur installation sous apache environ 10 min et encore je suis un noob, après oui il faut renouveler 1 fois par an.





perso, ça m’a pris bien plus et j’ai jamais pu faire plus qu’un sous-domaine par service (et startssl l’interdit clairement)


votre avatar







Tiwy57 a écrit :



Multi domaine (pas encore de wildcard)





Ils ne feront pas de wildcard. En gros un wildcard est trop permissif a leur yeux. Si tu as un serveur web tu dois connaitre les sous-domaines que tu utilise, sinon tu risque qu’un malin install un site sur ton serveur et qu’il profite des largesse du wildcard.

Idem pour la durée, il ne feront pas au dessus de 90 jours, ça réduit les risque et le temps d’exploitation du certificat volé. Mais comme tout doit être automatisé il ne devrait pas y avoir de problème.


votre avatar

+1

votre avatar

CACert, je l’ai sur un autre domaine que celui qui est maintenant géré par letsencrypt, et le seul soucis qui va faire qu’il va passer lui aussi sur letsencrypt sous peu, c’est que c’est 6 mois de validité et renouvellement à la main dans une interface en vieux php 4 pas ergonomique du tout… <img data-src=" />

votre avatar

bah je sais pas quoi te dire :



https://cloud.amonitux.net/

https://ts3.amonitux.net/

https://transmission.amonitux.net/



Après ya le www mais j’ai rien a mettre dessus donc je l’utilise pas.

votre avatar







Etre_Libre a écrit :



Non le certificat expire au bout de 90 jours, et il est conseillé de le renouveler quelques jours avant (en automatisant bien sûr, bien pratique en théorie).&nbsp;



&nbsp;Pour l’instant c’est 90 jours. Ça a déjà été annoncé qu’à terme, la durée de validité allait être réduite.

&nbsp;


votre avatar

C’est une blague ?

90 jours est déjà très faible et ils veulent encore réduire ?



Le renouvellement automatique a ses limites…

votre avatar







Etre_Libre a écrit :



C’est une blague ?

90 jours est déjà très faible et ils veulent encore réduire ?



Le renouvellement automatique a ses limites…





Non, c’est sérieux. Où est le problème ? J’ai mis une tâche dans mon crontab qui renouvelle mes certificats une fois par mois à une heure où le serveur n’a rien d’autre à faire, et je n’y pense plus. J’ai même moins de travail que si j’achetais un certificat par les moyens normaux, puisque normalement, à la fin de la période de validité, il faut passer par la procédure d’achat, payer, etc., et ce, pour tous les certificats — et quand on héberge plusieurs sites, ça peut monter vite. Là, une fois la tâche planifiée en place (incluant un système d’alerte en cas de problème), il n’y a vraiment plus rien à faire.


votre avatar

Même à 90 jours ça va demander de créer des scripts bien spécifiques + vérifications, sachant qu’on peut avoir tout un tas d’appareils différents et donc pas de script “générique” possible.



Exemples : Routeurs, NAS, Serveurs Web Windows + Linux, Serveurs FTP, Serveurs emails, Exchange, etc…



Je sens que je ne vais pas m’ennuyer…

votre avatar







Etre_Libre a écrit :



Même à 90 jours ça va demander de créer des scripts bien spécifiques + vérifications, sachant qu’on peut avoir tout un tas d’appareils différents et donc pas de script “générique” possible.



Exemples : Routeurs, NAS, Serveurs Web Windows + Linux, Serveurs FTP, Serveurs emails, Exchange, etc…



Je sens que je ne vais pas m’ennuyer…





Ça dépend à quel point ils sont vraiment différents. Comme je le disais plus haut, à partir du moment où tu as un serveur capable d’exécuter l’outil, il suffit qu’il puisse monter la racine web d’un autre serveur pour pouvoir prendre un certificat pour lui par la méthode la plus simple. Et dès lors qu’on peut se connecter en ssh sur une machine, le montage par sshfs est possible. Ça couvre déjà pas mal de cas.


votre avatar







Kotegaeshi a écrit :



Du moment que tu peux monter le système de fichier racine web de ton NAS, la méthode la plus simple (webroot) fonctionne. Je l’ai fait au boulot, on a plusieurs serveurs mais le patron veut que l’outil letsencrypt ne soit installé que sur un seul serveur qui centralisera la création et le renouvellement des certificats. Du coup, j’ai écrit un script qui fonctionne comme ceci : monter le webroot du serveur par sshfs (fonctionne probablement avec d’autres protocoles), utiliser la méthode webroot de letsencrypt, copier les fichiers obtenus vers le serveur par scp, démonter le webroot du serveur. Ça fonctionne parfaitement, on ne paiera plus pour des certificats \o/





ha oui, en effet, il y a cette solution. n’ayant pas de NAS, je n’y avais pas pensé.


votre avatar







Etre_Libre a écrit :



Même à 90 jours ça va demander de créer des scripts bien spécifiques + vérifications, sachant qu’on peut avoir tout un tas d’appareils différents et donc pas de script “générique” possible.



Exemples : Routeurs, NAS, Serveurs Web Windows + Linux, Serveurs FTP, Serveurs emails, Exchange, etc…



Je sens que je ne vais pas m’ennuyer…





C’est bien pour ça qu’ils fournissent directement les scripts d’intégration Apache (puis nginx et autres sont prévus). Pour les serveurs web Windows, on va pas troller, hein, mais bon. Et sur les NAS, bah tu t’adresses à ton constructeur… quelle idée aussi d’acheter un truc étiqueté “NAS” si ce que tu veux est en fait un serveur générique.

Les autres applis que le web ne sont pour l’instant pas supportées. C’est une solution dédiée au web.

&nbsp;


votre avatar

Typo : akamAI et automaTTic (ai pour le premier, et tt pour le second) ;)

votre avatar

J’utilise un certificat Let’s encrypt avec Prosody (serveur xmpp). Y’a besoin d’un serveur web pour la validation du domaine, mais ensuite le certificat on en fait ce qu’on veut. Sachant que le serveur web peut être le client.



Et aussi, on peut créer un seul certificat pour plusieurs (sous-)domaines. C’est pas du tout limité à un certificat par domaine.

votre avatar

On en parle des hébergeurs qui font payer la mise en place du SSL/TLS, même avec son propre certificat ? <img data-src=" />

votre avatar

ce qui se fait de + en + c’est le offloading SSL

chez moi, les cert sont sur le haproxy donc pas de vhost / apache ici

je pense que je suis bon pour une install manuel …



pas encore lu tous les docs ceci dit ;)

votre avatar







AmonituX a écrit :



Intérêt par rapport à startssl ?









  • StartSSL ne supporte pas les certificats ECC (courbes elliptiques) ni ECDSA. Si tu veux des certificats légers et utiliser des mécanismes de chiffrement modernes et rapides, RSA n’est pas (plus) la solution.

  • StartSSL te fait payer 25$ la révocation d’un certificat dont tu aurais perdu la clé privée correspondante.

  • StartSSL ne fourni pas de process automatisé pour mettre à jour ta configuration avec ton nouveau certificat (tous les 90 jours max) ni même un process pour générer (localement) ta clé, ton csr et ton pem (avec toujours la chaine) comme tu peux le faire avec le binaire letsencrypt:&nbsp; ./letsencrypt-auto certonly -a standalone (…)

  • StartSSL est une entreprise privée et non un groupement d’intérêt à but non lucratif comme c’est le cas pour ISRG.







    Tiwy57 a écrit :



    Multi domaine (pas encore de wildcard), renouvelable à souhait, pas obligé de payer pour révoquer le certificat.

    Pas obligé de fournir ses données personnelles (noms & prénoms civils) à une société tierce.





    Pas de “Pas encore”, le non support des certificat wildcard est “by design” et justifié :&nbsp;youtube.com YouTube(j’invite tout le monde intéressé par Let’s Encrypt à visionner cette vidéo)



    &nbsp;





    Pi3rr0t a écrit :



    Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat.

    &nbsp;Ici, on ne sait plus, comment on fait confiance ?





    Les informations mentionnées servent uniquement dans le cadre d’un certificat EV (Extended Validation). Pour la majorité des cas, seule la preuve que tu as la main sur le domaine pour lequel le certificat doit être émit est nécessaire. Inutile de savoir qui tu es.

    Quand à la confiance, elle est héritée de la signature croisée entre ISRG Root (sa propre CA, pas encore reconnue) et IdentTrust (une CA publique).



    &nbsp;





    alex.d. a écrit :



    &nbsp;Pour l’instant c’est 90 jours. Ça a déjà été annoncé qu’à terme, la durée de validité allait être réduite.

    &nbsp;





    Source ? J’ai rien trouvé à ce sujet. Merci :)

    &nbsp;

    &nbsp;





    madoxav a écrit :



    Pourquoi un client à installer plutôt que de passer par le classique “Génération CSR + Key, signature et délivrance du CRT” ?







    C’est justement le rôle assuré par le binaire en standalone. Et il te créé une arborescence bien propre pour gérer tes clés et certificats à chaque génération. Sous Apache, il te fait même la reconfiguration de ton httpd.conf.



    Bref, si t’es sysadmin et que tu gères plusieurs domaines, tu gagnes un temps fou.





    &nbsp;





    Vekin a écrit :



    On en parle des hébergeurs qui font payer la mise en place du SSL/TLS, même avec son propre certificat ? <img data-src=" />





    Tout le monde n’est pas compétent ou possède le temps pour faire ces actions.

    Je ne vois pas où est le problème de faire payer ça.


votre avatar

oui, mais il faut que les sous domaines soient tous accessible via le web. après si le xmpp.domain.machin:443 et le xmpp.domain.machin:5051 ne fournissent pas le même service, effectivement on s’en fout, ça marchera pareil avec le même certificat.







pitseleh a écrit :



ce qui se fait de + en + c’est le offloading SSL

chez moi, les cert sont sur le haproxy donc pas de vhost / apache ici

je pense que je suis bon pour une install manuel …



pas encore lu tous les docs ceci dit ;)





sinon, tu fais la méthode en standalone ou webroot.

standalone: tu coupes tes services qui sont sur le port 80 et/ou 443, tu lances le client qui lance un miniserveur web le temps de la vérif, tu relances tes services web une fois que c’est OK.


votre avatar







Florent_ATo a écrit :



Source ? J’ai rien trouvé à ce sujet. Merci :)



Il y a différents articles où c’est expliqué avec plus de détails, mais sinon rien de tel que de regarder à la source :

&nbsphttps://letsencrypt.org/2015/11/09/why-90-days.html

&nbsp;

&nbsp;


votre avatar

“Once automated renewal tools are widely deployed and working well, we may consider even shorter lifetimes.”



Effectivement, j’avais zappé ce passage. Merci <img data-src=" />

votre avatar

“Once automated renewal tools are widely deployed and working well, we may consider even shorter lifetimes.”



Effectivement, j’avais zappé ce passage. Merci <img data-src=" />

votre avatar

Une grande nouvelle pour le petit peuple! <img data-src=" />

votre avatar

j’ai beta-testé hier soir et ça marche super bien!

votre avatar

Intérêt par rapport à startssl ?

votre avatar

Multi domaine (pas encore de wildcard), renouvelable à souhait, pas obligé de payer pour révoquer le certificat.

Pas obligé de fournir ses données personnelles (noms & prénoms civils) à une société tierce.

votre avatar







AmonituX a écrit :



Intérêt par rapport à startssl ?





Déjà dis dans une news précédente. Mozilla est une fondation, et le projet n’a pas le but d’être rentable mais d’apporter les certificats et le chiffrement à tous le monde. Startssl est une entreprise qui fait payé différentes options suivant le forfait.



De plus Letsencrypt propose des scripts pour déployer très rapidement un certificat sur son serveur, sans avoir à se taper les détails relou.


votre avatar

Quelqu’un a réussi avec Windows ?

Pas mal de tentatives sans succès avec le logiciel officiel qui ne semble pas fonctionner malgré Python installé, et un autre logiciel Windows qu’il m’a fallu compiler avec vs2015 et n’est compatible qu’avec IIS (j’utilise Apache).

Est ce qu’il y a un logiciel let’s Encrypt pour générer un certificat valable pour tout logiciel, dont serveur FTP, Web Apache ou même Exchange ?

J’ai pas besoin d’un configurateur automatique, juste générer des certificats.

Merci

votre avatar

A mon avis pour que le wildcard soit accepté, il faudrait s’assurer que le domaine soit signé avec DNSSEC et que ce dernier utilise NSEC (pour certifier qu’un sous-domaine n’existe pas).



Sinon, effectivement, trop de risque d’usurpation par un méchant

votre avatar

Oui mais si le mec a déjà pété ton serveur pour squater en douce, il peut aussi générer le nouveau certificat kivabien <img data-src=" />

votre avatar

Je me plaçais dans l’optique d’un méchant qui falsifie le (trafic) DNS pour orienter vers méchant.example.org (à supposer que example.org n’utilise pas DNSSEC donc) <img data-src=" />



Si il a accès à la machine, faut changer de métier <img data-src=" /> <img data-src=" />

votre avatar

Bah le squatage étant évoquer sur le sujet auquel tu répondais, je tenais à le préciser <img data-src=" />



Pour DNSSEC (que je ne maitrise pas <img data-src=" />) : si le trafic DNS est falsifié, il y a moyen de péter le truc non ? Si tu falsifies jusqu’au réponse du DNS root ?

votre avatar

Si je comprends bien, c’est aux hébergeurs d’intégrer le truc et proposer le ssl gratuit via leurs interfaces ?



C’est cool, y aura peut etre plus a payer 50€/ans pour du ssl. Même si y en a qui en proposent pour 10€/ans. Toute façon, en général c’est pour rassurer les visiteurs, la pluspart des sites de péons, y a pas de transactions ou trucs critiques.

votre avatar

Si c’est gratuit, ce que c’est nous le pro… ah ben non, c’est juste un très bonne initiative <img data-src=" />

votre avatar







Tiwy57 a écrit :



Pas obligé de fournir ses données personnelles (noms & prénoms civils) à une société tierce.





Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat.

&nbsp;Ici, on ne sait plus, comment on fait confiance ?


votre avatar

&nbsp; Çase renouvelle tous les 90j?

Ce serait cool qu’il y a un outil pour Netscaler!

votre avatar







Pi3rr0t a écrit :



Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat.

&nbsp;Ici, on ne sait plus, comment on fait confiance ?





Disons que là on s’en fout un peu, ce qui compte c’est d’avoir du https ;)


votre avatar

DNSSEC utilise l’arborescence du DNS pour vérifier avec la crypto qu’une réponse est correcte. Donc, c’est chaud (à moins qu’il ne parvienne à modifier la clé privée de example.org et à diffuser une fause signature - on en revient à un problème d’accès à une machine <img data-src=" />)



L’AFNIC (très active sur le sujet) possède un bon guide

votre avatar

Le plus important n’est pas l’identité physique de la personne, mais le fait que celui qui demande le certificat soit bien le propriétaire du domaine. Je suppose qu’ils le vérifient par e-mail.

votre avatar







Zig76 a écrit :



Disons que là on s’en fout un peu, ce qui compte c’est d’avoir du https ;)



la fin justifie les moyens en quelque sorte.

Ok mais cette nouvelle autorité de certification c’est l’équivalent d’un verisign par exemple ? &nbsp;


votre avatar

Ça n’apporte pas la même sécurité niveau authentification qu’un verisign pour les sites commerciaux.



Par contre pour les sites persos ça suffit largement. L’idée étant surtout d’augmenter le traffic chiffré sur Internet.

votre avatar

comme ca tati danielle pourra telecharger des malwares en https en toute securite !

gerard de la compta aussi



Au final personne ne va y gagner avec ca, les proxy https vont juste se democratiser un peut plus

votre avatar

non, en postant directement depuis le serveur en question (pour du web).

en gros soit il modifie la conf de apache/nginx et place des données qui sont récupérées ensuite par le serveur de certification qui va aller vérifier sur domain.org: 80 ou :443 que les données sont bien présentes.



soit il génère un petit serveur standalone en python et le met en écoute sur le port 80 à la place du serveur web habituel et la suite est la même.



si tu veux pas modifier tes serveur web, tu peux lui dire de créer les fichiers directement dans le webroot du serveur (en lui spécifiant le chemin), mais ça merde un peu généralement si ton serveur est correctement sécurisé. (droits root ne passent pas, et chemin non connu mis en 403 directement, pour ma part)

j’ai pas testé la méthode manuelle, je ne sais pas comment il opère.

votre avatar







127.0.0.1 a écrit :



Si, si. C’est toujours toi le produit.



Mais pour que tu continues à être un produit rentable, il faut que tu aies confiance dans le système mis en place. Et aujourd’hui, la confiance s’appelle “le petit cadenas”. Alors on va te proposer du “petit cadenas” partout, gratuitement.





Comme si le net, c’était uniquement des vendeurs de soupe.

Ça fait des années que je lutte pour augmenter le niveau de sécurité de mon serveur perso, et je ne vends rien à personne. Je fournis des services à une dizaine de personnes, de ma famille ou de mes amis, par altruisme, par goût du DIY, par militantisme, et je peux dire que l’arrivée de Let’s Encrypt, c’est quelque chose que j’attendais depuis très longtemps, que je suis très heureux de voir enfin ! Tout simplement parce que ça va améliorer la sécurité de mes outils.


votre avatar

Validation fichier donc.



Merci, je me demandais la façon qu’il avaient choisi.

votre avatar







agarwaen a écrit :



Le certificat a deux rôles : la vérification de qui est derrière le certificat, et le chiffrement. Il y a de nombreux utilisateurs qui ont une utilité pour le chiffrement sans avoir forcément besoin de la vérification d’identité.



Ne pas oublier que, même si on s’en fiche souvent de l’identité physique de la personne, il est indispensable d’authentifier le domaine. Sinon, n’importe quel man-in-the-middle te file une connexion ssl vers son proxy, et tu ne te méfies pas, c’est crypté. Sauf que tu ne parles pas à celui que tu crois.

&nbsp;

&nbsp;


votre avatar







Keizo a écrit :



Mais moi je me pose une question, obligé d’avoir un serveur pour générer ton certificat ?

Parceque la je suis tenté de le mettre sur mon synology et du coup avec startssl j’ai juste rajouté les fichiers de certificat et non lancé une commande et installé qqch sur mon serveur…



Comment je pourrais faire dans mon cas ? :/





Du moment que tu peux monter le système de fichier racine web de ton NAS, la méthode la plus simple (webroot) fonctionne. Je l’ai fait au boulot, on a plusieurs serveurs mais le patron veut que l’outil letsencrypt ne soit installé que sur un seul serveur qui centralisera la création et le renouvellement des certificats. Du coup, j’ai écrit un script qui fonctionne comme ceci : monter le webroot du serveur par sshfs (fonctionne probablement avec d’autres protocoles), utiliser la méthode webroot de letsencrypt, copier les fichiers obtenus vers le serveur par scp, démonter le webroot du serveur. Ça fonctionne parfaitement, on ne paiera plus pour des certificats \o/


votre avatar

Merci d’avoir pris le temps de me faire une réponse très claire. je vois mieux maintenant à quoi ça sert.&nbsp;

<img data-src=" />

votre avatar

Pourquoi un client à installer plutôt que de passer par le classique “Génération CSR + Key, signature et délivrance du CRT” ?

votre avatar







Minikea a écrit :



perso, ça m’a pris bien plus et j’ai jamais pu faire plus qu’un sous-domaine par service (et startssl l’interdit clairement)







La première fois m’a pris plus de temps également (je dirais une bonne 12 heure pour un seul domaine/sous-domaine). Maintenant, je le fais en 5 minutes pour un domaine avec 4 sous-domaines, mais j’admets que c’est pénible, je passerai assez rapidement à Let’s Encrypt pour le côté automatisable.



Concernant la multiplicité des sous-domaines, rien ne l’interdit. Par contre un certificat ne servira qu’à un seul sous-domaine. Donc pour 4 sous-domaines du même domaine, il faut 4 certificats.


votre avatar







madoxav a écrit :



Pourquoi un client à installer plutôt que de passer par le classique “Génération CSR + Key, signature et délivrance du CRT” ?



Parce que le certificat est renouvelé tous les 15 jours avec un crontab. Ça doit être automatisé.

&nbsp;


votre avatar







Zerdligham a écrit :



J’ai eu un peu de mal à voir le rapport en mon message et ta réponse <img data-src=" />

C’est intéressant comme méthode, mais c’est au final assez contraignant. De mon point de vue, si tu es obligé d’installer python et/ou un serveur web pour obtenir ton certificat, c’est beaucoup d’embêtement. Par exemple si j’en veux un pour mon NAS, qui a ma connaissance n’a pas python, et pour lequel ne n’ai pas totalement la main sur le serveur web, j’ai l’impression que je vais au devant de beaucoup d’embêtements.





Comme a été évoqué un peu avant, avec un NAS, c’est pas vraiment possible, non ?



Du coup je reste chez StartSSL au moins jusqu’à la fin de la validité du certificat que j’ai ;) (1 par sous domaines).


votre avatar

Non le certificat expire au bout de 90 jours, et il est conseillé de le renouveler quelques jours avant (en automatisant bien sûr, bien pratique en théorie).



Pour ma part j’ai trouvé une autre version du letsencrypt-win-simple (pour Windows) et en demandant une création manuelle de certificat j’ai pu faire fonctionner avec Apache, mais c’est “quasi” obligé d’exécuter le programme sur le serveur car il place un fichier dans la racine du site web et vérifie sa présence tout de suite.



Pour mes tests je n’ai pas fait ainsi, je voulais juste voir si ça allait : VPN + Partage de fichiers Windows, et exécution du programme seulement en VM, ça m’a bien généré divers certificats mais erreur à la fin, alors j’ai vite copié ce qui avait été généré dans %APPDATA% et Apache a accepté tout ça et le certificat est vu comme valide par Firefox et IE (pas testé autre chose).



C’est donc bien perfectible, il faudra que je vois à l’usage la facilité dont pour le renouvellement, mais pour certains cas ça va demander du pure bricolage pour tout automatiser (dont pour les NAS).

votre avatar

il y a des gens qui ont réussi a générer du certificat pour web application proxy de MS ?&nbsp;



&nbsp;

votre avatar







agarwaen a écrit :



Comme si le net, c’était uniquement des vendeurs de soupe.

Ça fait des années que je lutte pour augmenter le niveau de sécurité de mon serveur perso, et je ne vends rien à personne. Je fournis des services à une dizaine de personnes, de ma famille ou de mes amis, par altruisme, par goût du DIY, par militantisme, et je peux dire que l’arrivée de Let’s Encrypt, c’est quelque chose que j’attendais depuis très longtemps, que je suis très heureux de voir enfin ! Tout simplement parce que ça va améliorer la sécurité de mes outils.







Je pense qu’on est tous d’accord pour dire que SSL n’est pas une garantie légale, commerciale ou éthique sur le service fourni par le site web.



Alors parler de SSL comme un “gage de sécurité” à Mme Michu, c’est trompeur. On lui vend de la confiance “morale”, alors qu’il s’agit au mieux de confiance technique. Car SSL garantie au mieux l’authenticité du serveur à l’autre bout du réseau (spoofing) et la confidentialité des échanges avec ce serveur (sniffing).



Quand bien même le serveur de confiance est hébergé en Ukraine, loué par un habitant de Lagos, et qu’il demande ton numero de CB pour débloquer un problème héritage d’une mine de diamants.


votre avatar







Pi3rr0t a écrit :



Je suis un peu noob mais je croyais que la confiance qu’on accorde aux autorités de certification vient du fait qu’ils savent qui est “physiquement” derrière un certificat. 



     &nbsp;Ici, on ne sait plus, comment on fait confiance ?









    Tu croyais mal. La seule chose qu'une autorité garantie c'est l'exactitude des données que contient le certificat.          


    Pour les certificats à bas prix, la seule chose qui est vérifié c'est, comme pour Let's Encrypt, que la personne qui demande le certificat contrôle bien le domaine en question (en aucun cas l'identité du demandeur n'est vérifiée dans ce cas, elle ne sera donc pas incluse dans le certificat).          







    C'est le cas pour le certificat de nextimpact, si tu est connecté en HTTPS tu peut voir dans les détails :




Site Web:&nbsp; www.nextinpact.com&nbsp;Propriétaire: Ne fait pas parti du certificatVérifié par: COMODO CA Limited



&nbsp;La seule chose que COMODO certifie ici c’est que la personne qui a demandé le certificat controllait bien le domaine www.nextinpact.com au moment de la demande, CODOMO ne certifie en aucun cas que la demande de certificat provenait bien de INpact Mediagroup&nbsp; SARL. 




    La deuxième chose c’est le montant de cette garantie : S'il s’avère que les informations incluses dans un certificat sont erronées et que cela vous cause un préjudice, l’autorité qui a délivrée le certificat vous remboursera à la hauteur de :          


    &nbsp;- Pour Let's Encrypt je n'ai pas cherché, vu que le but est juste de chiffrer les communications, j’imagine que c’est 0.          


    - CACert: c'était 10 000$ la dernière fois que j'ai regardé.          


    &nbsp;- StartSSL: 50 000$          







    Pour les CA plus "haut de gamme", genre COMODO ça va de plusieurs centaines à plusieurs millions d'euros, évidement plus la classe du certificat est élevée plus la somme garantie est forte.

votre avatar



des certificats SSL gratuits pour tous



Ou pas :( J’ai tenté sur mon VPS chez OVH mais pour lui ça corresponds à ovh.net du coup “too many certificates were issued”

votre avatar

Si quelqu’un a un tutoriel pour IIS, je suis preneur !



En tout cas très bonne initiative de la part de la fondation.

votre avatar

Apparemement “letsencrypt-win-simple” est surtout fait pour IIS actuellement, même s’il permet aussi de créer des certificats manuellement.

votre avatar

au risque de provoquer un outage ?

je parle d’une prod a x*k hits/ min

mais par dessus tout, ca m’embete d’installer un paquet de soft pour gerer tout ça

apres je dit pas, pour la majorité de petit site, ca fait surement tres bien le job ;)

votre avatar

Je vais être plus précis. Chez OVH, je n’ai jamais trouvé comment faire pour mettre son propre certificat autrement qu’en payant. Pourtant, HTTPS est déjà activé, avec leur certificat (du coup avertissements et compagnie). Ou alors je suis aveugle.

votre avatar

ouais mais letsencrypt s’adresse avant tout à des petits sites. si tu as un site à fort traffic, je pense que c’est que c’est ta source de revenu principale, et que tu peux donc payer pour sa certification.

après, vu que c’est automatisable, rien n’empêche de le faire à un moment où ça impact moins aussi.



de toute façon, pour prendre en compte le changement de certificat, il faut au moins faire un reload du service.

votre avatar

En fait il y a déjà StartSSL qui propose des certificats gratuits.

Quelle est la différence entre StartSSL et Let’s Encrypt ?

votre avatar

si tu veux pas relire les commentaire de ce fil: startssl ne fais qu’un seul sous domaine par certificat et est loin d’être automatisable.

votre avatar

Je ne suis pas sûr de te suivre là. Tu parles de la mise en place d’un certificat TLS pour un site web hébergé chez OVH ? J’ai peur que cette discussion s’éloigne du sujet initial. N’hésite pas à me faire un retour par MP. Si je peux t’aider je le ferai =)

votre avatar

Exactement. Et oui, volontiers. Mon pseudo sur le forum, c’est le même qu’ici <img data-src=" />

Let’s Encrypt en bêta publique : des certificats SSL gratuits pour tous

  • Des certificats SSL gratuits

  • La bêta publique ouvre les vannes

  • La gratuité et la simplicité font mieux ressortir les problèmes restants

Fermer