J'utilise pas mal de certificats de startssl.com -> procédure à l'ancienne - simple (dès qu'on a tout compris) - certificats avec sous-domaine (10+ ?) et surtout : gratuit !
Mais, StartSSL a commis quelques erreurs et les grands chefs - les autres "autorités du de secteur" - ont décidé de prendre des mésuser : plus faire confiance au certs de startssl.
Un de mes sites, https://www.test-domaine.fr , qui utilise un certificat émis le 2016-11-22 et valable 3 années (!!) donc mise en service après octobre 2016 montre déjà un résultat inquiétant.
Avec IE 11 -> ça passe, tout est ok.
Avec FF 51.0 (mise à jour très récent) : > Une erreur est survenue pendant une connexion à www.test-domaine.fr. Le certificat du pair a été révoqué. Code d’erreur : SEC_ERROR_REVOKED_CERTIFICATE
Or, ce n'est pas moi qui a révoqué ce certificat (révocation == payant chez startssl).
Je pense que le temps est venu que je me documente coté "letenscrypt" ....
Je me demande combien des sites tomberont bientôt .... des petites structures ... des entreprises ... j'espère que letenscrypt est prêt à accueillir beaucoup de nouveau clients.
StartSSL : le début de la fin ?
Related questions
- Conseil - Proxmox / ZFS
42379 
27.08.2024 09:39
- Serveurs OVH blacklistés UCEPROTECT-Level 3
22306 12.04.2021 15:23
- Solution de streaming live
20739 25.08.2017 18:35
- Mon serveur n'est pas en ssl
20581 21.06.2017 15:35
- [Résolu] Problème de connexion à un dédié
18296 15.12.2018 17:42
- Conseil Soft Raid vs Hard Raid
18028 13.04.2017 08:49
- Proxmox ou VMWare ?
18024 02.03.2017 22:04
- Proxmox ip failover problème reseau vers orange
14788 30.11.2020 19:21
- SoftRaid 3x2To SATA ?
13090 03.01.2019 07:18
- Serveur crash avec ip failover
12767 11.09.2019 14:57
Pour ceux qui utilisent Virtualmin, les dernières versions embarquent Let's Encrypt avec renouvellement automatique des certificats...
Quant aux autres panels, à voir comment ils ont décidé de l'intégrer.
Une fois au travail ce matin ....
FF 50.1.0 (pas la même version, il me propose pas encore le 51.0 !?) => ça marche.
Mon panel s'appelle "nano" ou Notepad++.
Je suis bon pour " https://letsencrypt.org/getting-started/" et " https://certbot.eff.org/ " .
Bonjour,
y a des clients alternatif à certbot si besoin, genre : https://github.com/Neilpang/acme.sh
Cordialement, janus57
Yep, j'ai vu.
Il y en a pour tous les goûts.
Pour l'instant, je préfère utiliser l'outil préconisé par letenscrypt. Le doc de ce "certbot" me semble le plus à jour. On va voir pour la suite.
Pour l'instant je débute sur un VPS "bricolage" avec un serveur web que je n'utilise pas vraiment.
La génération d'un certificat, puis l’installation manuelle ou totalement automatisé, c'est un petit merveille, ce "certbot".
Résultat après quelques minutes : https://www.ssllabs.com/ssltest/analyze.html?d=mail2.brit-hotel-fumel.fr
Il y a même le cron pré-installé qui renouvelle le certificat automatiquement - je vais le surveiller de près.
Je débute la phase deux de mes test : utiliser ce même certificat pour le service 'courier' (pop/imap mode ssl) et postfix (smtps )
Bonjour,
ce qu'il y a de bien (avec le client officiel ou dérivés : https://letsencrypt.org/docs/client-options/ ) c'est que l'on peu utiliser son propre CSR vu que par défaut certbot émet un certificat RSA en 2048 (comme le montre ton test).
Donc tu coup si on utilise son propre CSR on peu monter à 4096 voir passer en certificat ECDSA.
Cordialement, janus57
Pour ma part je suis sur lets'encrypt et ça marche plutôt bien....
Un coup de letsencrypt -d et ça roule.... Un petit cron pour renouveler le certificat automatiquement et tout baigne...
Le truc pénible c'est que le certificat n'est valable que 3 mois... Ce qui implique que si on veut utiliser ces certificats sur les IP LB ou un CDN OVH il faut refaire la manip tous les 3 mois...
Voir scripter un truc pour mettre à jour les certificats via l'API....
Merci pour l'info.
Cela rejoint l'une de mes inquiétudes depuis le début avec LE.
C'est très bien, c'est magnifique, mais cela m'embête un peu d'ajouter une dépendance vers un service... qui en plus demande de l'argent pour continuer.
Si ce service ne réussit pas son pari (financier), cela risque de se compliquer.
Si ce service fait une boulette et qu'ils sont obligés de révoquer tous les certificats, cela risque de se compliquer.
Ce que je ne souhaite pas bien sûr, puisque je vais sans doute être obligé d'y passer.
Je lui souhaite donc longue vie ! :)
On en avait déjà parlé dans l'ancien forum: https://forum.ovh.com/showthread.php/111351-StartSSL-certificats-(gratuit)-valable-3-ann%C3%A9es-maintenant-!
Le lien que t'as cité mentionne un certificat qui reste valable.
Ceux d’après octobre 2016 - comme annoncé par "Mozilla" : c'est mort.
Entretemps, je me suis documenté auprès 'certbot'. J'ai dit 'ok' concernant les trois tonnes et demi de script python, nécessaire pour le faire tourner.
Ils me semble leur 'truc' est assez fiable pour mes besoins. (le fait que le OVH les a choisi pour faire tourner tout leur parc mutu en SSL - pardon, TLS, m'a motivé un peu car "ils peuvent pas se gourer à ce point ...")
Verdict dans 60 jours - quand mes premier certificats seront renouvelé automatiquement "par script" sans que je m'occupe moi-même.
Il fallu que je fasse le ménage dans mes 'vhosts' (apache2) - et pas que eux, j'utilise aussi ce même scripts pour mes services "courier" (pop, imap) - webmin, monit, munin, et postfix partout.
On va voir.
Grâce à Letenscrypt j'ai (du) totalement automatiser la distribution des mes certificats sur mon serveur.
J'utilise bien sur ces certificats pour mes sites web - la mise en place dans mes vhosts, ça va tout seule.
Mais postfix, lui, il faut ça :
` cat $RENEWED_LINEAGE/privkey.pem $RENEWED_LINEAGE/cert.pem $RENEWED_LINEAGE/fullchain.pem > /etc/postfix/ssl/$domain/cert.pem`
($RENEWED_LINEAGE est /etc/letencrypt/live/$domain/)
Pour 'courier', c'est la même chose.
Pour 'monit', c'est encore autre chose.
Pour webmin, idem.
Dès qu'un certificat se renouvelle automatiquement, les services concernant seront redémarrer ou reload.
Rdv dans 60+ jours pour voir si ça fonctionne bien, d'une façon totalement autonome.
édit :
correction : postfix :
cat $RENEWED_LINEAGE/privkey.pem \
$RENEWED_LINEAGE/fullchain.pem \
/etc/ssl/dh/RSA4096.pem > /etc/letsencrypt/archive/$domain/fullchain_dhparams_4096.pem
C'est le clé privé + le full chain + (bonus) un "dhparams à 4096" tant qu'à faire.
Bonjour,
Comme @janus57 là dit https://github.com/Neilpang/acme.sh est un très bon alternative à certbot qui ne fait que des certificats RSA 2048, avec acme.sh vous pouvez vous créer des certificats ECC 384 simplement.
J'obtiens un A+ sur CryptCheck : Clique-ici pour voir le rapport
Cordialement
micro_maniaque
L'avantage avec un certificat payant, même un simple positive SSL, c'est la couverture de garantie allant de $10k pour un simple positive SSL à $1.75M pour les EV chez Comodo, ça couvre les frais d'avocat / justice par exemple... je dis ça je dis rien, mais à 8€ / an le cert c'est vite vu personnellement. Après tout dépend de l'utilité du certificat, je peux comprendre que s'il ne s'agit que d'une tentative de SEO Dumping, un certif gratuit ça peut suffire, et encore, je me pose la question si l'algo ne check pas qui est l'autorité qui l'a délivré bien que Google dise que non, or on sait tous que s'il "favorise" légèrement les sites avec protocole httpS c'est qu'ils ne veulent pas qu'un utilisateur de leur moteur de recherche puisse leur reprocher de s'être vu suggérer un lien "malicieu / corrompu" pour ne pas qu'ils perdent leur confiance.
Cordialement
```text Salut,
Le problème de Let's Encrypt, c'est qu'il est de plus en plus exploité pour du phishing ce qui pourrait à moyen long terme nuire fortement à sa réputation et pousser les différents acteurs à ne plus le "truster".
https://textslashplain.com/2017/01/16/certified-malice/ ```