Fermer le menu
 

Let’s Encrypt sécurisera les sous-domaines génériques en 2018

Nicolas Furno | | 15:10 |  29

Le projet Let’s Encrypt ambitionne de sécuriser le web depuis 2015 et propose pour cela gratuitement les certificats nécessaires pour activer une connexion HTTPS. Depuis ses débuts, il fonctionnait uniquement sur un nom de domaine précis et complet et il fallait notamment un certificat par sous-domaine. Pour prendre un exemple, le certificat pour sécuriser blog.ndd.fr devait être différent que le certificat pour ndd.fr.

Sur ce serveur sécurisé avec Let’s Encrypt, tous les sous-domaines ont un certificat spécifique. Alors même qu’il n’y a qu’un seul domaine principal, et un sous-domaine, il faut quatre certificats différents. Cliquer pour agrandir

Puisque chaque certificat est gratuit et puisque l’on peut obtenir autant de certificats que l’on veut, ce n’était pas vraiment un point bloquant. Néanmoins, Let’s Encrypt restait à la traîne par rapport aux autres fournisseurs de certificats qui peuvent sécuriser des domaines « avec wildcards » capables de couvrir un domaine et tous les sous-domaines.

Dans notre exemple, on pourrait obtenir un certificat pour *.ndd.fr et il serait automatiquement valide pour blog.ndd.fr. Le passage du HTTP au HTTPS est ainsi souvent simplifié, d’autant qu’il fallait jusque-là un certificat spécifique pour sécuriser le www. que l’on trouve toujours sur de nombreux sites.

Cette option simplifiée était très demandée et la fondation Let’s Encrypt annonce son arrivée à partir de janvier 2018. Ce sera tout autant gratuit qu’aujourd'hui et ce sera la même procédure, pour les utilisateurs, rien ne changera. Si la fondation annonce le changement dès maintenant, c’est pour inciter à faire des dons, puisque c’est sa seule source de revenus avec des sponsors d’acteurs du web.


Les derniers dossiers

Ailleurs sur le Web


29 Commentaires Signaler un abus dans les commentaires

avatar Green Bull 07/07/2017 - 15:17 via iGeneration pour iOS

Justement je viens à peine de re-générer mn certificat. C’est quand ils veulent l’automatisation du renouvellement d’ailleurs.

avatar Nicolas Furno macG 07/07/2017 - 15:21 via iGeneration pour iOS

@Green Bull

Un peu de pub à ce sujet : Caddy est super pratique pour ne plus avoir à gérer tous ces problèmes. Tout dépend des besoins ensuite, mais dans la majorité des cas, il peut remplacer Apache ou Nginx.

En tout cas, je l’utilise sur mon blog WordPress sans aucun problème depuis quelques mois. Et je n’ai plus à gérer les certificats, il se débrouille.

Info ici : https://caddyserver.com

avatar deltiox 07/07/2017 - 18:16 via iGeneration pour iOS (edité)

@nicolasf

Un tuto un tuto
Je crée mon site sous wordpress avec Caddy et j'active let's encrypt

😛



avatar Nicolas Furno macG 07/07/2017 - 18:22 via iGeneration pour iOS

@deltiox

C’était prévu en plus, mais j’ai jamais trouvé le temps jusque-là. 🙁

Cela dit, c’est beaucoup plus facile que d’autres méthodes. À part la gestion des droits et de systemd.

avatar patrick86 07/07/2017 - 18:47 (edité)

Caddy peut s'installer sur macOS Server ?

avatar Nicolas Furno macG 07/07/2017 - 22:02 via iGeneration pour iOS

@patrick86

Oui.

avatar patrick86 08/07/2017 - 10:48

@Nicolas Furno :

Good 👍

Du coup j'y ai jeté à œil. Ça me semble assez simple à mettre en œuvre, mais j'ai un doute quant à la possibilité de le faire cohabiter avec l'Apache de macOS Server, qui utilise déjà les ports 80 et 443. Surtout pour le serveur WebDAV. 🤔

Le mieux serait que je puisse faire tourner Caddy sur un système indépendant, avec sa propre IP sur Internet.

avatar pepes003 07/07/2017 - 15:24

Franchement, je suis une bille là dedans, pourtant, j'ai un crontab qui check mon certif' tous les mois et le renouvelle si besoin.

C'est gratos et ultra efficace.

Après c'est vrai que du coup, j'ai mes 3 relaunch.sh car 3 sous-domaines. Mais pas grave.

avatar pacou 07/07/2017 - 17:37 via iGeneration pour iOS

@Green Bull

Certbot installe le script cron qui va bien.

avatar unixorn 07/07/2017 - 23:33

Grave. Je viens de tester avec mon site perso avant une mise en prod éventuelle pour un site que je développe et j'ai tiré la gueule quand j'ai vu qu'il fallait renouveler tous les 90 jours. Bon il y a cron mais j'ai comme dans l'idée que quelque chose va foirer quelque part régulièrement.

avatar ssssteffff 07/07/2017 - 23:45 via iGeneration pour iOS

@unixorn

C'est au contraire une bonne chose en terme de sécurité !
Et certbot renew marche parfaitement en limitant l'indispo.

avatar Gulivert 08/07/2017 - 08:31 via iGeneration pour iOS

@Green Bull

Tu peux déjà automatiser, le script d’install permet de le faire, suffit de mettre une tâche cron et de faire un script de quelques lignes. D’ailleurs des scripts tout fait existent sur la toile...

avatar nakooba 07/07/2017 - 15:21

"fournisseurs de certificats qui peuvent sécurisaient"
sécuriser plutôt.

avatar Nicolas Furno macG 07/07/2017 - 15:24 (edité)

@ nabooka

Ouh, ça c’est moche… 😱

Merci, c’est corrigé !

avatar iDanny 07/07/2017 - 16:22 via iGeneration pour iOS

Dans l'exemple donné (voiretmanger), il n'y a pas 1 mais plusieurs sous-domaines car par exemple dans www.files.voiretmanger.fr, chaque élément est un sous-domaine du niveau précédent (fr étant le domaine de + haut niveau) 🙂

avatar Nicolas Furno macG 07/07/2017 - 16:26

@ iDanny :

Oui, techniquement c’est vrai. Je voulais dire un seul sous-domaine de deuxième niveau…

avatar xDave 08/07/2017 - 12:41 via iGeneration pour iOS

@nicolasf

👌🏽 donc on s'en fout.
Si on a 1 SD on en a forcément au moins 2, me trompe-je ?

avatar patrick86 08/07/2017 - 15:19

@Si on a 1 SD on en a forcément au moins 2, me trompe-je ? :

Non, ils ne sont pas par pair. Example tout bête : si vous réservez mondomaine.fr et voulez votre site accessible à www.mondomaine.fr, vous créez ce sous-domaine www. Pas besoin d'en créer un autre (à moins que vous ne vouliez aussi un forum à forum.mondomaine.fr, par exemple).

avatar ssssteffff 07/07/2017 - 16:55 via iGeneration pour iOS

L'article n'est pas tout à fait exact, il est déjà possible de faire un certificat multi sous domaines avec la version actuelle de LetsEncrypt, aussi bien via le wizard que via la ligne de commande certbot (plusieurs -d mon.domaine.fr -d autre.domaine.fr).

Cette méthode fonctionne bien quand la liste des sous domaines ne bouge pas trop, mais elle a deux problèmes selon moi :
- pour ajouter un sous-domaine il faut renouveler l'ensemble du certificat en ajoutant le nouveau sous domaine,
- en regardant le certificat de mon.domaine.fr, n'importe qui voit l'ensemble des sous domaines existants portés par le certificat.

La nouveauté annoncée porte sur les certificats dits "wildcard" (*.domaine.fr). C'est plus rapide et ça permet d'adresser les deux "problèmes" évoqués ci-dessus.

avatar Nicolas Furno macG 07/07/2017 - 18:25 via iGeneration pour iOS

@ssssteffff

Ah, je pensais qu’il générait plusieurs certificats, même dans ce cas. J’en prends note et je corrigerai.

avatar mathiasr 07/07/2017 - 17:31

Comme l’indique ssssteffff il est parfaitement possible d’obtenir un seul certificat pour plusieurs domaines sous forme de SAN (Server Alternate Name) avec Let’s Encrypt, exemple visible ici : https://dev.ssllabs.com/ssltest/analyze.html?d=pcidss-256.ssl-tls.info&h... Il est à noter que d’après l’annonce la seule méthode de validation acceptée, dans un premier temps, pour les wildcards sera celle basée sur le DNS (pas nécessairement le plus évident pour tout le monde).

avatar patrick86 07/07/2017 - 18:49

Y'a-t-il du nouveau pour Let's Encrypt sur macOS Server ? Je n'y ai pas regardé depuis plusieurs mois et en suis resté à une solution qui fonctionne, mais n'est pas des plus rapides (créer les certificat, puis le convertir, puis l'importer dans Server pour pouvoir l'utiliser).

avatar françois bayrou 07/07/2017 - 22:28

brew !

avatar patrick86 08/07/2017 - 10:49

@françois bayrou :

Homebrew ? Ça ne concerne que l'installation de Let's Encrypt. Or mon soucis porte sur la mise en place et le renouvellement des certificats eux-mêmes, qui n'est pas aussi automatisé que sur d'autres systèmes.

avatar françois bayrou 09/07/2017 - 10:57

Je crois bien que certbot est disponible !

Pages