Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:https_ssl [2016/12/30 12:00] – zatalyz
+++ fr:https_ssl [2023/12/17 10:24] – [Let's Encrypt] vite fait zatalyz
@@ Ligne 45: / Ligne 45: @@
 ===== Let's Encrypt =====
+<WRAP center round todo 60%>
+Je note vraiment vite fait... histoire d'y retrouver... va falloir reprendre.
+</WRAP>
+Demander la certification d'un seul domaine sans ajouter des crasses partout :
+  sudo certbot certonly --standalone -d mondomain.org
+Les chemins à ajouter dans apache/nginx/autre seront :
+  SSLCertificateFile /etc/letsencrypt/live/mondomain.org/fullchain.pem
+  SSLCertificateKeyFile /etc/letsencrypt/live/mondomain.org/privkey.pem
+==== Vieille doc à nettoyer ====
+<WRAP center round important 60%>
+À mettre à jour, certbot est à présent dans les paquets des distrib et mérite un autre usage pour que ce soit moins n'importe quoi. Les infos ci-dessous sont en partie obsolètes.
+Je laisse pour le moment, pas le temps de nettoyer, mais c'est à faire...
+</WRAP>
 Créer un certificat avec Let's encrypt, c'est très simple !™
@@ Ligne 124: / Ligne 145: @@
 Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait :
-1 1 2,4,6,8,10,12 * /root/letsencrypt/certbot-auto renew > /root/renewlets.log
+1 1 2,4,6,8,10,12 * /root/certbot/certbot-auto renew > /root/renewlets.log
+Le log vous permettra de vérifier s'il y a eu des soucis.
 </WRAP>
+==== Sur Nginx ====
+Nginx est un peu moins automatique.
+Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur :
+<code>sudo service nginx stop
+sudo certbot certonly --standalone -d monsite.mondomaine.org
+sudo service nginx start</code>
+Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré.
+Lors des renouvellements, éteindre à nouveau nginx (?) et renouveler avec la commande suivante :
+  sudo certbot renew
+===== Client Let's Encrypt ACMEd =====
+Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr:acmed|page dédiée]].
 ===== Améliorer et tester la sécurité du site via https =====
@@ Ligne 134: / Ligne 170: @@
   * https://www.ssllabs.com/ssltest/analyze.html : permet de voir les plus grosses erreurs
   * https://observatory.mozilla.org/ : Mozilla est plus exigeant et permet d'avoir un site bien sécurisé
+  * https://cryptcheck.fr/ qui est terriblement exigeant... attention, certains paramètres qui vous vaudront un F (parce que c'est vrai, c'est pas sécu) peuvent aussi empêcher certains de vos internautes de vous voir (parce qu'ils ont des vieux navigateurs pas à jour). Mais ces clients méritent-ils de voir votre site ?
+Let's encrypt est pas mal... mais pas parfait((En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.)). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps.
-Voir le fichier de configuration du module SSL d'apache ''/etc/apache2/mods-available/ssl.conf''. Virer le protocole SSL3 qui n'est plus considéré comme "sûr" depuis la démonstration de l'attaque PODDLEd
+On va donc [[https://f4fia.wordpress.com/2015/08/09/configurer-son-serveur-web-en-https/|générer de nouveaux paramètres Diffie-Hellman]].
-  SSLProtocol all -SSLv2 -SSLv3
-( à noter le "-" devant SSLv3 )
-Interdire la compression d'échanges cryptés (oui oui cela introduit une possibilité d'attaque)
-  SSLCompression off
-Et finalement lister la liste des "algorithmes de crypto" autorisés :
-  SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
-<WRAP center round help 60%>
-À tester, nouvelle proposition :
-  ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC4:!3DES:!MD5:!PSK:+HIGH
-</WRAP>
-<WRAP center round tip 60%>
-Ancienne configuration, génère un A- au 11/02/2016. La nouvelle au dessus vient de [[https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm]].
-  SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
-</WRAP>
-Noter le "!" devant certains nom d'algorithme pour les interdire, par exemple : !PSK, !RC4, etc...
+<code>cd /etc/letsencrypt/live/MONSITE.COM/
+openssl dhparam -out dhparams.pem 4096</code>
-Puis imposer de négocier les protocoles dans l'ordre ci-dessus : donc du plus sûr au moins sûr :
+Puis ajouter cette ligne dans ''/etc/apache2/site-enabled/MONSITE-le-ssl.conf'' :
-  SSLHonorCipherOrder On
+  SSLDHParametersFile /etc/letsencrypt/live/MONSITE.COM/dhparams.pem
-Pensez à relancer l'Apache :
+Voir aussi [[fr:securite_sysadmin#module_ssl|la configuration de SSL.]]
-  # /etc/init.d/apache2 restart
 {{tag>Serveur Web Tutoriel Brouillon}}