HTTPS : Let’s Encrypt sort de bêta et se généralise
Let’s Encrypt s’est donné comme objectif de sécuriser l’intégralité du web en offrant un moyen simple et gratuit d’obtenir une connexion HTTPS (lire : Let’s Encrypt sur le point de sécuriser tout l’internet). Depuis l’automne 2015, le service fonctionne déjà en bêta et plus de 1,7 millions de certificats ont été délivrés à ce jour. Face à un tel succès, ses concepteurs abandonnent le statut de bêta, signe que le projet est arrivé à maturité.
Le projet gagne encore quelques partenaires, dont le spécialiste de la sécurité numérique Gemalto, mais aussi le CDN Fastly et d’autres hébergeurs. Rappelons que Let’s Encrypt nécessite un accès SSH pour être installé et donc un serveur dédié ou un VPS en général. Les hébergeurs mutualisés peuvent intégrer le service pour offrir à leurs utilisateurs des certificats et c’est notamment le cas d’Online.net en France (lire : Online.net sécurise gratuitement tous ses sites web).
En attendant que tous les hébergeurs s’y mettent, Automattic a annoncé que tous les blogs hébergés sur la plate-forme WordPress.com seraient sécurisés avec Let’s Encrypt. Jusque-là, seuls les blogs qui utilisaient un sous-domaine et non leur propre nom de domaine disposaient d’une connexion HTTPS. Désormais, tous les sites seront protégés, et tout sera automatique, sans aucune intervention de l’utilisateur. Rappelons qu’il faut payer au minimum 99 $ par an pour bénéficier d’un nom de domaine sur WordPress.com.
Dans sa mission de sécuriser tout le web, Let’s Encrypt va bientôt être aidé par un poids-lourd du secteur. La prochaine version de cPanel, un panneau de configuration que l’on retrouve chez la majorité des hébergeurs, permettra de sécuriser un site très simplement. Elle devrait sortir d’ici quelques semaines, mais il faudra attendre que les hébergeurs se mettent à jour évidemment. D’ici là, ServerPilot et CloudWays — deux spécialistes de la gestion de serveurs — ont intégré Let’s Encrypt.
Installé sur mes 2 NAS Synology, par contre le certificat n'est valable "que" 3 mois, donc j'attends de voir la suite...
Mes sites tournent en https avec LetsEncrypt depuis un moment aussi !
Le problème des trois mois peut être résolu avec l'exécution automatique de renouvellement ( avec une tâche cron )
Synology indique sur son site que le certificat est automatiquement renouvelé.
J'aimerais bien que QNAP devienne aussi un sponsor de cette initiative...
4 serveurs chez DigitalOcean qui utilisent le service. Le script de renouvellement est fourni dans une gem Ruby. Vraiment top.
Donc si je comprends bien (merci de me conseiller, je ne suis pas un développeur), pour mon site wordpress hébergé sur un mutualisé ovh, il faut encore attendre que ovh intègre le certificat de leur côté, exact ?
Et pour mon owncloud qui tourne chez moi sur un Macmini (dans une Virtual Machine Ubuntu), est-ce que je peux faire qqchose ?
Merci de vos conseils et explications ;-)
@ instantcook : en effet, ce sera à OVH de faire le nécessaire. On sait que c'est prévu, reste à savoir quand ça arrivera…
Pour votre serveur, vous pouvez le faire dès aujourd'hui. Il faut maîtriser la ligne de commande, mais tout se fait assez simplement, voire automatiquement si c'est un serveur Apache.
@nicolasf :
OVH a annoncé la chose pour la premiere moitié d'avril. Il semble qu'ils soient à la bourre...
@instantcook :
Sur un mutualisé, on est pas root, sauf erreur, donc on n'est pas trop chez soi.
Donc dans ce cas, c'est le prestataire qui doit installer, tester et mettre en service le logiciel client. En effet, sur un mutualisé, difficile de créer les outils permettant de gérer les noms de domaines dont les communications doivent être protéger, alors que ceux ci sont relativement instables.
@instantcook :
Pour ton owncloud, si ton ip est fixe et que tu as parametré un nom de domaine pointant vers ton serveur, alors ce doit être possible.
Pour les modalités techniques, il vaut mieux lire la doc.
Par exemple, il faut aussi avoir un serveur web (Apache, nginx, ou autre) car c'est lui qui pointera sur les certificats et gérera les communications en tls.
Sur .Mac, par défaut, c'est un serveur Apache, mais il faut voir en fonction des versions.
Il y a un papier sur le site de Mozilla sur le parametrage des serveurs pour bien les protéger : https://mozilla.github.io/server-side-tls/ssl-config-generator/
cPanel est à la bourre. Ça fait belle lurette que Plesk gère Let's Encrypt !
C'est une très bonne nouvelle que cPanel intègre bientôt Let's encrypt
Pour info, letsencrypt a pour vocation de rendre tout automatique ou presque grâce à une application Python qui s'occupe de tout .
Le parametrage est à la porte de toute personne voulant prendre la peine de se documenter, leur doc étant depuis le début tout à fait lisible et complète.
Toute personne ayant un serveur avec un unix like peut l'utiliser si le dit serveur est accessible via un nom de domaine (sinon cela n'a que peu d'intérêt, mais pourquoi pas sécuriser une adresse ip après tout. Ce Service n'est pas prévu pour ce cas de figure).
On peut sécuriser plusieurs noms de domaine sur un même serveur.
Si la durée d'un certificat est de seulement trois mois, il est conseillé de les renouveler tous les mois ou tous les deux mois.
En tout cas , surtout, même si un hébergeur de serveur ne l'installe pas par défaut, rien n'empêche de l'installer soit même si on est root ou sudoer.
Chez ovh, en tout cas, on installe ce que l'on veut sur leur serveur mis à disposition...
Cette initiative est tout à fait bienvenue. D'ailleurs Linux magazine en a fait des articles complets les trois derniers mois.
Merci pour les infos ;-)
J'y suis passé depuis deux mois pour un de mes sites. Il a pris deux secondes de téléchargement en plus par page depuis. C'est moyennement positif. D'après vous, est-ce normal ?
Merci
@Boumy :
Vu le fonctionnement de ce logiciel, je ne vois pas trop.
En gros le logiciel ne fait que créer un certificat ssl et le fait signer par le certificat de la fondation en charge de la plateforme après avoir vérifié que le nom de domaine pointe vers le serveur qui le demande et que le serveur vous appartient.
Il installe ensuite les certificats signé dans un répertoire connu sur lequel le serveur web pointe pour gérer les communications cryptées.
Donc il ne fait rien de plus ni de moins que ce qu'on ferait à la main, mais il le fait simplement et gratuitement (à voir quand même qu'une boîte comme ovh partenaire gold verse quelque chose comme 100000€ par an, donc c'est gratuit car des entreprises sont généreuses )
@pacou :
En fait ovh est platinum, et c'est 350.000$ l'année ...
Ce serait bien si ovh ajouté let's encrypt à ses hébergements mutualisés, ça éviterai de payer un SSL relativement cher :) Pour le moment en hébergeur qui propose let's encrypt dans plesk j'ai trouvé evxonline https://www.evxonline.com/actualite-354-un-certificat-ssl-gratuit-avec-lets-encrypt.html