Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:https_ssl [2016/12/30 12:00] – zatalyz | fr:https_ssl [2023/12/17 10:24] – [Let's Encrypt] vite fait zatalyz | ||
---|---|---|---|
Ligne 45: | Ligne 45: | ||
===== Let's Encrypt ===== | ===== Let's Encrypt ===== | ||
+ | <WRAP center round todo 60%> | ||
+ | Je note vraiment vite fait... histoire d'y retrouver... va falloir reprendre. | ||
+ | </ | ||
+ | |||
+ | Demander la certification d'un seul domaine sans ajouter des crasses partout : | ||
+ | sudo certbot certonly --standalone -d mondomain.org | ||
+ | |||
+ | Les chemins à ajouter dans apache/ | ||
+ | SSLCertificateFile / | ||
+ | SSLCertificateKeyFile / | ||
+ | |||
+ | |||
+ | |||
+ | ==== Vieille doc à nettoyer ==== | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | À mettre à jour, certbot est à présent dans les paquets des distrib et mérite un autre usage pour que ce soit moins n' | ||
+ | |||
+ | Je laisse pour le moment, pas le temps de nettoyer, mais c'est à faire... | ||
+ | </ | ||
+ | |||
Créer un certificat avec Let's encrypt, c'est très simple !™ | Créer un certificat avec Let's encrypt, c'est très simple !™ | ||
Ligne 124: | Ligne 145: | ||
Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : | Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : | ||
- | 1 1 1 2, | + | 1 1 1 2, |
+ | Le log vous permettra de vérifier s'il y a eu des soucis. | ||
</ | </ | ||
+ | ==== Sur Nginx ==== | ||
+ | Nginx est un peu moins automatique. | ||
+ | |||
+ | Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur : | ||
+ | < | ||
+ | sudo certbot certonly --standalone -d monsite.mondomaine.org | ||
+ | sudo service nginx start</ | ||
+ | |||
+ | Voir [[fr: | ||
+ | |||
+ | Lors des renouvellements, | ||
+ | sudo certbot renew | ||
+ | |||
+ | ===== Client Let's Encrypt ACMEd ===== | ||
+ | Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr: | ||
===== Améliorer et tester la sécurité du site via https ===== | ===== Améliorer et tester la sécurité du site via https ===== | ||
Ligne 134: | Ligne 170: | ||
* https:// | * https:// | ||
* https:// | * https:// | ||
+ | * https:// | ||
+ | Let's encrypt est pas mal... mais pas parfait((En tout cas, au moment où je rédige ces lignes, 30 décembre 2016.)). La taille de la clé est un peu petite ; il faut avouer que la génération d'une clé plus longue peut prendre un très long temps. | ||
- | Voir le fichier de configuration du module SSL d' | + | On va donc [[https://f4fia.wordpress.com/2015/08/09/configurer-son-serveur-web-en-https/ |
- | + | ||
- | SSLProtocol all -SSLv2 -SSLv3 | + | |
- | ( à noter le " | + | |
- | + | ||
- | Interdire la compression d' | + | |
- | SSLCompression off | + | |
- | + | ||
- | Et finalement lister la liste des " | + | |
- | SSLCipherSuite " | + | |
- | + | ||
- | <WRAP center round help 60%> | + | |
- | À tester, nouvelle proposition : | + | |
- | ALL: | + | |
- | </ | + | |
- | + | ||
- | + | ||
- | <WRAP center round tip 60%> | + | |
- | Ancienne configuration, | + | |
- | SSLCipherSuite ' | + | |
- | </ | + | |
- | Noter le " | + | < |
+ | openssl dhparam -out dhparams.pem 4096</ | ||
- | Puis imposer de négocier les protocoles | + | Puis ajouter cette ligne dans ''/ |
- | | + | |
- | Pensez à relancer l' | + | Voir aussi [[fr:securite_sysadmin#module_ssl|la configuration de SSL.]] |
- | | + | |
{{tag> | {{tag> |