not logged in | [Login]

Chiffrez, chiffrez, il en restera toujours quelques chose !

J’ai reçu hier soir (mardi 27 octobre) mon invitation pour la béta fermée de Let’s Encrypt, une nouvelle autorité de certification (ou CA pour certification authority) gratuite, automatisée et — surtout ! — ouverte.

Parmi les sponsors, on trouve quand même l’ISOC (Initernet Society), Mozilla, l’EFF (Electronic Frontier Fundation) et Cisco… Pas des petits joueurs !

En bref, il s’agit pour l’AdminSys d’utiliser un script qui va assurer :

  1. la génération d’une paire de clé,
  2. l’émission d’une requête de certificat associant la clé publique et un nom de domaine (voire des alias),
  3. la récupération du certificat signé par Let’s Encrypt
  4. l’installation de la configuration requise pour l’exploitation de ce certificat

Deux freins mineurs :

  1. Déjà, ce n’est qu’une béta, fermée qui plus est, du coup faut être un petit privilégié pour y a voir accès :).
  2. Le certificat fourni n’est valable que 90 jours, renouvelable uniquement après 60 jours (si j’ai bien tout compris).

Quelques aléas pour finir :

  • le script doit être lancé directement depuis le serveur ;
  • la configuration de ce nom de domaine (VirtualHost) doit figurer dans un fichier dédié ;
  • le nom de domaine concerné doit déjà être accessible en HTTPS.

NB : J’y ai été confronté dans le cadre de l’utilisation en mode auto et pour une configuration d’Apache, mais il existe de nombreuses autres combinaisons qui restent à explorer

Malgré tout, après moins d’une heure, http://adminsyste.me redirige vers le site chiffré (cf fichier de conf. du vhost HTTP ci-dessous) et j’envisage d’ouvrir le mode edit de [[https://github.com/gollum/gollum/wiki][gollum]], moteur du wiki.


/etc/apache2/sites-available/adminsysteme-ssl.conf

<VirtualHost *:443>
	ServerName adminsyste.me

	SSLEngine On
	SSLCertificateFile	/etc/letsencrypt/live/adminsyste.me/cert.pem
	SSLCertificateKeyFile	/etc/letsencrypt/live/adminsyste.me/privkey.pem
	SSLCACertificateFile	/etc/letsencrypt/live/adminsyste.me/chain.pem 
	Include /etc/letsencrypt/options-ssl-apache.conf

 	ProxyPass        / http://172.17.0.10:4567/
 	ProxyPassReverse / http://172.17.0.10:4567/
</VirtualHost>

/etc/apache2/sites-available/adminsysteme.conf

<VirtualHost *:80>
	ServerName adminsyste.me
        Redirect permanent / https://adminsyste.me/
</VirtualHost>

EDIT le 25/11/2016

Un an plus tard, le paquetage debian s’appelle certbot et la commande pour mon serveur apache est sudo certbot run --apache -d rss.olsc.org -d links.olsc.org -d olsc.org.

Je reste bluffé malgré tout le bruit sur le sujet depuis un an : partant d’un serveur full HTTP, je récupère un serveur full HTTPS (HTTP redirigé vers HTTPS sans intervention de ma part).

Cerise sur le gateau, j’utilise la paire de clé et le certificat de mail.olsc.org pour le SMTP et l’IMAP !