Let's Encrypt enfin du https gratos...

Pacifick_FR42 · Le 08/03/2015, à 20:38

Bonjour à tous !

Depuis peu, la fondation Mozilla (entre autre) met à disposition une application opensource lets-encrypt nous permettant d'utiliser le protocole https validé sans achat au préalable de licence...

Malheureusement, je suis pas parvenu a le faire fonctionner (mon anglais est pas très bon, mais à priori, c'est une version pre-view)

Si de votre coté vous êtes arrivé à le faire fonctionne, ou simplement me donner votre avis

Merci de votre retour !

tiramiseb · Le 09/03/2015, à 09:57

Salut,

Plus de précisions sur ce machin :

Une autorité de certification va ouvrir en 2015, c'est Let's Encrypt : https://letsencrypt.org/.
Elle n'est pas encore active.

Cette autorité de certification fournira une application qui rendra l'utilisation de ses certificats très facile avec Apache2. Et si on utilise un autre serveur, alors il faudra tout faire à la main.
Une preview de cette application existe, elle est disponible au lien que tu as donné. Cette preview est là pour permettre aux développeurs et au testeurs de bien faire leur boulot. Mais actuellement, les certificats émis ne sont pas valides. Normal, vu que l'autorité de certification n'est pas encore active...

Pour rappel, il y a déjà moyen d'avoir des certificats gratuits, par exemple chez StartSSL. Mais un peu de "concurrence" ne fera pas de mal, surtout que chez StartSSL c'est un peu bordélique...

Dernière modification par tiramiseb (Le 09/03/2015, à 09:58)

Pacifick_FR42 · Le 09/03/2015, à 09:59

Merci beaucoup de ces précisions !
Tu as une idée de quand ça sera actif ?

tiramiseb · Le 09/03/2015, à 10:00

Bah il y a marqué "mid-2015" sur leur site, si on interprète ça très bêtement, ça ferait fin juin - début juillet. Plus sérieusement, je ne suis même pas sûr qu'eux-mêmes savent quand ils seront prêts...

Dernière modification par tiramiseb (Le 09/03/2015, à 10:02)

bruno · Le 09/03/2015, à 10:52

StartSSL c'est gratuit pour obtenir un certificat « basique » mais toutes les autres options sont payantes ; en particulier la révocation d'un certificat qui est facturée 25$… Mais cela permet d'avoir relativement facilement un site en https qui est reconnu par tous les navigateurs sans message d'avertissement.

Sinon on peut utiliser cacert.org qui est entièrement gratuit mais cette autorité de certification n'est pas installée par défaut sur les navigateurs/système d'exploitation. Il y aura donc un avertissement pour l'internaute à moins qu'il n'ait rajouté cacert.org dans ses autorités de certification de confiance.

tiramiseb · Le 09/03/2015, à 11:20

bruno: je n'ai pas vu d'info à ce propos, mais il est à mon avis fort probable que le certificat de Let's Encrypt soit également « basique ».

Pacifick_FR42 · Le 09/03/2015, à 22:35

Vous pouvez m'expliquer la différence entre un certificat basic et les autrs (j'y connais rien, dans ce dommaine, une vrait burne... )

bruno · Le 10/03/2015, à 09:41

Désolé le terme « basique » (note bien les guillemets) n'était pas bien choisi.
Ce que je voulais dire c'est que StartSSL ne permet d'obtenir gratuitement qu'un certificat pour un usage à titre individuel (classe 1), ce qui est tout a fait suffisant pour toi. Les autres niveaux de certification concernent des entreprises ou autres structures officielles.

Effectivement Let's Encrypt proposera certainement le même niveau de certification, Sébastien a raison. S'ils permettent en plus de révoquer gratuitement les certificats se sera parfait.

Pacifick_FR42 · Le 10/03/2015, à 15:43

Chouette il me faut au moins un classe 3...
Bon... des conseilles rapport qualité prix ?

bruno · Le 10/03/2015, à 17:40

Pourquoi donc ?
Attention les classes dans la page que j'ai mise en lien ne correspondent à aucun standard ont des définitions variables d'une AC à l'autre. C'est juste le niveau de vérification qui est utilisé par l'autorité de certification pour signer ta clef publique. Grosso modo, chez StartSSL :
- classe1 : on vérifie juste que tu es propriétaire du domaine ;
- classe 2 : en vérifie en plus l'identité de la personne physique ;
- classe 3 : on vérifie en plus l'identité de la personne morale ;
etc.

Pacifick_FR42 · Le 10/03/2015, à 20:44

Si je me fie à ton lin (Wiki)
Class 3 for servers and software signing, for which independent verification and checking of identity and authority is done by the issuing certificate authority.

C'est effectivement pour un serveur, avec site + applications.

Dernière modification par Pacifick_FR42 (Le 10/03/2015, à 20:45)

tiramiseb · Le 10/03/2015, à 20:50

Pacifick_FR42: comme indiqué sur la page Wikipédia, il s'agit là des classes selon VeriSign. Ce ne sont pas les mêmes classes pour StartSSL. Comme l'a indiqué bruno en #10, ça varie selon les CA.

Pacifick_FR42 · Le 10/03/2015, à 21:39

Merci pour toutes ces infos, vous avez un 'fournisseurs" à conseiller, de préférence un fournisseur qui bosse pas pour la NSA

tiramiseb · Le 10/03/2015, à 22:13

Pour ma part j'achète les certificats chez Gandi, en qui j'ai toute confiance.

Pacifick_FR42 · Le 13/03/2015, à 01:37

Bon pour l'instant, et histoire de me faire les dents, j'ai pris un nom de domaine chez Gandi, et je bénéficie donc d'un certificat simple pour un an.
J'utilise ISPConfig, mais même en suivant différent tuto, j'arrive pas à faire fonctionner le https...
Au mieux, j'ai ce message :

Une erreur est survenue pendant une connexion à fm-it.international. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. (Code d'erreur : ssl_error_rx_record_too_long)

Dans le champs Key, j'ai copié la clé, dans le champs CSR, le CSR, et dans le champs CRT, le certificat de Gandi, généré.
Dans le champs Bundle, je vois pas...

Le https (auto signé) du serveur --> ispconfig est fonctionnel

Des idées ?

RÉSOLU : http://forum.ubuntu-fr.org/viewtopic.php?id=1764801&p=1 par contre, je dois générer le fichier domaine.ltd-ssl.vhost à la main, ce n'est pas ispconfig qui gère ça, dommage.

Merci à tous !!

Quant à l'appli... à suivre... de près !

Dernière modification par Pacifick_FR42 (Le 13/03/2015, à 02:13)

tiramiseb · Le 13/03/2015, à 09:26

Tu pointes une discussion de deux pages avec plein de détails technique, on a du mal à comprendre quel point précisément a résolu ton problème.

A priori l'erreur que tu montre serait lié à une mauvaise configuration d'Apache.
Vu que tu utilises un panel qui te cache le vrai fonctionnement du système, c'est difficile de déboguer.

D'ailleurs, tu dis que tu utilises ISPConfig... Tu es un ISP, vraiment ?

Pacifick_FR42 · Le 13/03/2015, à 15:44

Bonjour tiramiseb

Je comprends pas ta dernière question,
Ce qui m' permis de débogué, c'est le fait d'inscrire le .crt & .key en dur dans le fichier vhost, ce qui m'ennuie, c'est que ISPconfig ne semble pas fonctionner concernant la gestion des des certificat (ou, j'ai pas su faire)

tiramiseb · Le 13/03/2015, à 15:53

Ce qui m' permis de débogué, c'est le fait d'inscrire le .crt & .key en dur dans le fichier vhost

Ah ok, je comprends mieux. Ben oui, là désolé je ne saurais pas t'aider, pour ma part je préfère gérer moi-même mon serveur plutôt que de déléguer ça à un logiciel...

Pacifick_FR42 · Le 13/03/2015, à 16:18

oui, mais quant tu dois gérer plusieurs dizaines de site... ça devient problématique (créa user, BDD, cota, mail,etc...)

tiramiseb · Le 13/03/2015, à 16:21

Ça dépend comment tu t'y prends

Pacifick_FR42 · Le 13/03/2015, à 21:48

Si tu fait le choix d'utiliser une interface graphique, c'est justement pour éviter de perdre du temps à tous faire à la main

tiramiseb · Le 13/03/2015, à 21:57

Peut-être, je ne sais pas.
En tout cas ton affirmation n'est pas bijective.

Faire à la main n'implique pas nécessairement de perdre du temps.

Pacifick_FR42 · Le 14/03/2015, à 23:01

L'un empêche pas l'autre, l'utilisation d'une interface graphique rends les taches plus confortable, mais ça n'empêche pas de savoir aussi configurer à la main, bien au contraire.
Par contre, j'ai compris pourquoi ispconfig & SSL fonctionnait pas, c'était un conflit suexec/fastCGI ( j'avais garder un vieux et mauvais reflex de travailler sous www-data...)

Dernière modification par Pacifick_FR42 (Le 14/03/2015, à 23:01)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 08/03/2015, à 20:38

Let's Encrypt enfin du https gratos...

#2 Le 09/03/2015, à 09:57

Re : Let's Encrypt enfin du https gratos...

#3 Le 09/03/2015, à 09:59

Re : Let's Encrypt enfin du https gratos...

#4 Le 09/03/2015, à 10:00

Re : Let's Encrypt enfin du https gratos...

#5 Le 09/03/2015, à 10:52

Re : Let's Encrypt enfin du https gratos...

#6 Le 09/03/2015, à 11:20

Re : Let's Encrypt enfin du https gratos...

#7 Le 09/03/2015, à 22:35

Re : Let's Encrypt enfin du https gratos...

#8 Le 10/03/2015, à 09:41

Re : Let's Encrypt enfin du https gratos...

#9 Le 10/03/2015, à 15:43

Re : Let's Encrypt enfin du https gratos...

#10 Le 10/03/2015, à 17:40

Re : Let's Encrypt enfin du https gratos...

#11 Le 10/03/2015, à 20:44

Re : Let's Encrypt enfin du https gratos...

#12 Le 10/03/2015, à 20:50

Re : Let's Encrypt enfin du https gratos...

#13 Le 10/03/2015, à 21:39

Re : Let's Encrypt enfin du https gratos...

#14 Le 10/03/2015, à 22:13

Re : Let's Encrypt enfin du https gratos...

#15 Le 13/03/2015, à 01:37

Re : Let's Encrypt enfin du https gratos...

#16 Le 13/03/2015, à 09:26

Re : Let's Encrypt enfin du https gratos...

#17 Le 13/03/2015, à 15:44

Re : Let's Encrypt enfin du https gratos...

#18 Le 13/03/2015, à 15:53

Re : Let's Encrypt enfin du https gratos...

#19 Le 13/03/2015, à 16:18

Re : Let's Encrypt enfin du https gratos...

#20 Le 13/03/2015, à 16:21

Re : Let's Encrypt enfin du https gratos...

#21 Le 13/03/2015, à 21:48

Re : Let's Encrypt enfin du https gratos...

#22 Le 13/03/2015, à 21:57

Re : Let's Encrypt enfin du https gratos...

#23 Le 14/03/2015, à 23:01

Re : Let's Encrypt enfin du https gratos...

Pied de page des forums