Https gratuit

limax · Mai 19, 2018, 10:51am

Bonjour
J’ai une rasbian chez moi derrière une freebox et dessus un serveur lighttpd.
J’accède à mes sites http://monnom.hd.freee.fr et je souhaiterai sécuriser avec https.

Ce n’est pas un réel besoin mais c’est plus par désir d’apprendre. J’ai dessus des sites internet sans prétentions (en python) et un cloud c’est pourquoi je recherche dans le gratuit.

J’ai regardé un peu sur le net: Par exemple utiliser: Let’s Encrypt
J’ai regardé aussi sur notre forum: startSSL utilisé par françois est devenu obsolète en mai 2018 (si j’ai bien compris).

Avez vous des conseils à me donner .

merci

Clochette · Mai 18, 2018, 7:25pm

Je serais toi j’utiliserai let’s encrypt (certbot), il y a depuis peu en plus la gestion du san il me semble.

mattotop · Mai 18, 2018, 7:32pm

Pas forcément besoin dans l’absolu d’installer un certificats ssl exterieur pour sécuriser tes échanges.
Tu peux trés bien générer toi même ton certificat autosigné, ça déclenchera un warning disant qu’il est autosigné (voire bloqué sous chrome ou mozilla suivant les réglages), mais tu sais pourquoi le certificat est autosigné et tu sais que tu peux te faire confiance, donc c’est suffisant pour toi seul.
Il y a plein de tutos sur comment générer un certificat ssl (au moins les lire, si c’est par curiosité et pour apprendre).

Là ou tu as besoin de letsencrypt (ou autre), c’est pour les gens qui ne te connaissent pas: letsencrypt sert de tiers de confiance en disant “oui on connait bien ce site, c’est nous qui avons généré sa clé, on confirme que c’est bien la bonne correspondant au bon site”.

Pour l’install de letsencrypt, il y a tout sur le site pour l’automatiser et installer/renouveler sans trop comprendre.
Il y a même un paquet debian letsencrypt, mais je ne sais pas ce qu’il vaut.

limax · Mai 18, 2018, 7:50pm

Merci pour ta réponse.

J’ai déjà fait un essai avec un certificat autosigné.

Je vais essai de poursuivre mes recherche sur let’s encrypt(cerbot)

limax · Mai 19, 2018, 5:48am

Ok je vais donc creuser dans ce sens [let’s encrypt (certbot)].

limax · Mai 29, 2018, 11:10am

Un petit retour
J’ai utilisé ceci https://mikeshultz.com/setting-up-lets-encrypt-with-lighttpd-and-certbot.html
Tout fonctionne bien.

Clochette · Mai 29, 2018, 12:23pm

N’oublie pas la petite cron qui va bien pour le renouvellement, il existe des scripts sympa pour faire le renouvellement et envoyer un mail d’avertissement avec du log en cas d’erreur.

limax · Mai 29, 2018, 1:43pm

Il me reste plus que ça à faire.
Pour contre je suis obligé d’arrêter lighttpd pour utiliser certbot renew puis de relancer lighttpd.

Je vais peut reprendre en utilisant l’option B (de mon lien)
Comme ce n’est pas une urgence je regarderai un peu plus tard.

Clochette · Mai 29, 2018, 4:46pm

Nous avons écrit au taff un script permettant de générer des certificat pour une liste de domaine/su-domaine (très grand nombre) il permet aussi de générer le renouvellement, je verrai pour mettre la main dessus à l’occasion

Ce script fait le rechargement de la conf et la relance du service web, pour un renouvellement il faut bien quel e service web soit actif afin que le site/sous-domaine soit testé par l’organisme derrière let’s encrypt .

limax · Mai 29, 2018, 8:43pm

ok merci encore

limax · Juin 15, 2018, 9:39pm

Je viens de tout refaire pour automatiser. J’ai utilisé https://github.com/TextpressoDevelopers/textpressocentral/wiki/lighttpd
qui lui même s’est inspiré du lien que j’ai donné précédemment.

Pour info il lui manque une accolade dans son lighttpd.conf

ssl.honor-cipher-order = “enable”
}

Baruch · Août 1, 2018, 6:27pm

Perso j’utilise https://github.com/lukas2511/dehydrated
Un client bash très simple à configurer