Let's Encrypt

PengouinPdt · Mars 21, 2016, 7:30pm

Hello, y’en a qui ont tenté l’aventure “Let’s Encrypt” ici ?!

Je lis deux, trois articles, histoire de me lancer :

Je clone le depôt git …
=> Paramètre du fichier de config.ini, ainsi :

# We use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096
email = webmaster@stephane-huc.net
domains = stephane-huc.net, www.stephane-huc.net
authenticator = webroot
# This is the webroot directory of your domain in which
# letsencrypt will write a hash in /.well-known/acme-challenge directory.
webroot-path = /srv/www/mydomain/www

Je modifie mon fichier serveur nginx, pour rajouter :

 location '/.well-known/acme-challenge' {
        allow all;
        default_type "text/plain";
        root /srv/www/mydomain/www;
        try_files $uri /$1;
}

(non, petit malin, la racine de mes fichiers ne se trouvent pas sur /srv/www/mydomain/www … ce répertoire n’existe pas du tout - c’est simplement pour faire comprendre !
Néanmoins, dans ces deux fichiers de configuration, sur mon serveur, cela pointe bien au bon endroit.)

Et, j’ai pourtant le droit à l’erreur suivante :

Failed authorization procedure. stephane-huc.net (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to http://stephane-huc.net/.well-known/acme-challenge/GAo3afuNNhISCiWhbyp_GXRPu9YQ_9pk1teSrpGszxA

IMPORTANT NOTES:

The following errors were reported by the server:

Domain: stephane-huc.net
Type: connection
Detail: Could not connect to http://stephane-huc.net/.well-known
/acme-challenge/GAo3afuNNhISCiWhbyp_GXRPu9YQ_9pk1teSrpGszxA

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you’re using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

Hors, http://stephane-huc.net/.well-known/ est accessible depuis “dehors” !

Je me suis amusé à mettre les droits root:root sur le répertoire .well-known/, à tester avec les droits de l’utilisateur lié à nginx, pour le domaine en question … ça ne change rien !
J’ai même dû enlever les règles interdisant l’accès aux fichiers dits cachés, commençant par ‘.’, parce que malgré la règle “allow all” dans la déclaration location relative au répertoire .well-know, j’avais le droit à l’erreur 404.
Je viens même d’essayer avec un chmod 777 sur ledit répertoire …

Ça m’énerve passablement, parce que j’y ai passé toute mon après-midi, pour un truc qui devrait rouler en quelques minutes, pffff …

Novakin · Mars 21, 2016, 11:29pm

Salut !

Oui ça tourne depuis un moment chez moi (je suis la personne ayant rédigé l’article consacré à Let’s Encrypt sur noobunbox.net)

Peux-tu stp coller la configuration entière du domaine concerné ?

j’ai essayé d’aller sur ton site et j’ai une erreur

Ce site est inaccessible

stephane-huc.net a mis trop de temps à répondre.
ERR_CONNECTION_TIMED_OUT

ricardo · Mars 21, 2016, 11:33pm

Bizarre, car je suis intéressé par ce domaine et je viens de tester la connexion sur le site de Stephane et ça fonctionne

PengouinPdt · Mars 21, 2016, 11:44pm

Je suis entrain de générer une clé DHParam à 4096, qui me ralenti méchamment le bouzin !

Après mettre ma config entière - moi qui suis un tantinet parano sur les bords - sachant qu’elle est un poil complexe …

Entre-temps, j’ai découvert qu’il ne fallait pas l’utilisateur nginx mais bien root sur les répertoires ./well-known/acme-challenge/

Entre temps, j’ai découvert que mes règles iptables bloquaient la discussion avec les serveurs du projets Let’sEncrypt - et, là, j’aimerais bien comprendre aussi pourquoi !
C’est vraiment bizarre, d’autant qu’en sortie le port 80 est autorisé, ainsi qu’en entrée, et absolument les connexions relatives et établies …

Et, quand j’ai eu fait pété toutes mes protections et autres paramétrages, le script m’a statué d’un congratulation!

Grrr…

Novakin · Mars 21, 2016, 11:48pm

Chez moi les répertoires n’ont pas les droits root et ca fonctionne

PengouinPdt · Mars 21, 2016, 11:50pm

Ahhh, je préfère largement ça !

Ma clé DH Param vient de terminer - elle aura mis près de 4 heures pour être générée ! pfff

“Stay tuned!” Je vérifie ma config, et on va tester la conn https !

Novakin · Mars 21, 2016, 11:50pm

j’ai toujours un timeout

ricardo · Mars 21, 2016, 11:57pm

le premier lien ne fonctionne pas, essai le second ou ajoute un slash à la fin.
http://stephane-huc.net/.well-known/

Novakin · Mars 21, 2016, 11:59pm

Je teste directement sur le domaine http://stephane-huc.net et impossible d’acceder à la page

PengouinPdt · Mars 22, 2016, 8:26am

Ouais, j’ai apparemment un problème, j’ai un tas de petit malin qui m’envoie des gets dans la goule !

tcp 0 0 192.168.147.3:9502 68.235.39.11:80 ESTABLISHED 0 9123797 173553/wget
tcp 0 0 192.168.147.3:60242 208.77.20.11:80 ESTABLISHED 0 9110745 173554/wget
tcp 0 0 192.168.147.3:60264 208.77.20.11:80 ESTABLISHED 0 9123009 173549/wget
tcp 0 0 192.168.147.3:60181 208.77.20.11:80 ESTABLISHED 0 9107705 173558/wget
tcp 0 0 192.168.147.3:9491 68.235.39.11:80 ESTABLISHED 0 9112778 173552/wget
tcp 0 0 192.168.147.3:6073 91.189.91.13:80 ESTABLISHED 0 9107709 173560/wget
tcp 0 0 192.168.147.3:60239 208.77.20.11:80 ESTABLISHED 0 9110307 173556/wget
tcp 0 0 192.168.147.3:9499 68.235.39.11:80 ESTABLISHED 0 9122186 173555/wget
tcp 0 0 192.168.147.3:60225 208.77.20.11:80 ESTABLISHED 0 9108981 173551/wget
tcp 0 0 192.168.147.3:60174 208.77.20.11:80 ESTABLISHED 0 9107690 173550/wget
tcp 0 0 192.168.147.3:6104 91.189.91.13:80 ESTABLISHED 0 9108682 173559/wget
tcp 0 0 192.168.147.3:22209 91.189.92.201:80 ESTABLISHED 0 9107954 173544/wget
tcp 0 0 192.168.147.3:23974 91.189.91.23:80 ESTABLISHED 0 9111091 173543/wget
tcp 0 0 192.168.147.3:60252 208.77.20.11:80 ESTABLISHED 0 9111482 173548/wget
tcp 0 0 192.168.147.3:60232 208.77.20.11:80 ESTABLISHED 0 9109660 173557/wget
tcp 0 0 192.168.147.3:22269 91.189.92.201:80 ESTABLISHED 0 9122560 173547/wget
tcp 0 0 192.168.147.3:6074 91.189.91.13:80 ESTABLISHED 0 9106861 173561/wget
tcp 0 0 192.168.147.3:23896 91.189.91.23:80 ESTABLISHED 0 9106787 173545/wget
tcp 0 0 192.168.147.3:23897 91.189.91.23:80 ESTABLISHED 0 9106794 173546/wget

Ouais, non la fatigue n’aide pas à y voir clair … tsss …
Ça, c’est plutôt, si je ne me trompe pas, apt-mirror ! tsss
Va falloir que je trouve le moyen de limiter son action, car il me plombe les ressources CPU. grrrr

seb-ksl · Mars 22, 2016, 7:27am

Pour info, je sais pas si tu t’en es finalement sorti, mais je suis passé à Let’s Encrypt récemment et j’avais donné ma marche à suivre (qui me semble plus simple que la tienne ?) à Ricardo, ici. Si ça peut aider ;-).

PengouinPdt · Mars 22, 2016, 11:48am

Merci seb-ksl.
Je regarderais ça dès que possible. Vraiment pas assez dormi, moi. tsss

Mais, bon le serveur tourne !
Avec redirection vers HTTPS active.

Booo : https://www.ssllabs.com/ssltest/analyze.html?d=stephane-huc.net

PengouinPdt · Mars 22, 2016, 2:24pm

Assessment failed: Unable to connect to the server

Que ça me lourde !
Pourquoi il n’arrive pas à se connecter ssllabs ?
Qu’est-ce qui peut l’en empêcher ?

Novakin · Mars 22, 2016, 4:21pm

Tu as bien configuré tes ciphers?

https://mozilla.github.io/server-side-tls/ssl-config-generator/

PengouinPdt · Mars 22, 2016, 4:47pm

Je te remercie.

J’ai modifié pour faire “joujou” en mode Intermediate ou Modern.
En mode intermediate, je me connecte avec FF (v45.0) ou Opera (v12.16) sous Linux
En mode modern, seul FF se connecte !

Bien, déjà, ça semble bon.
Bascule de HTTP vers HTTPS : ok!

J’ai enfin eu le droit à un zoli “A+” !!!

Novakin · Mars 22, 2016, 5:00pm

Voilà ce que j’utilise chez moi :

(Ça permet d’avoir un maximum de navigateurs et OS supportés sans trop perdre en sécurité)

ssl_certificate /etc/letsencrypt/live/noobunbox.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/noobunbox.net/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers “ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA”;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 8k;
ssl_session_tickets off;
add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/noobunbox.net/chain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

Par contre commente la ligne suivante si tu n’utilises pas HTTPS sur tout tes sous-domaines. Ca risque de les rendre inaccessibles sinon

add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”;

PengouinPdt · Mars 22, 2016, 5:05pm

Là, sur ce coup, je te remercie … en effet, mon blog est revenu ! _[quote=“Novakin, post:16, topic:68791”]
resolver_timeout 5s;
[/quote]

Ahhh, le coup du symbole ‘_’ et non pas ‘-’ … je comprends mieux pourquoi il ne reconnaissait pas cette option - bon, perso, j’ai mis à 3s
Et, resolver sur 127.0.0.1.

Je n’ai pas paramétré cette option, l’ayant vu dans un fichier de config, mais comme je ne me suis pas encore renseignée dessus … pas fait

Novakin · Mars 22, 2016, 5:12pm

En gros ça te permet de mieux sécuriser l’échange de clé ECDH.

Sur ton test https://www.ssllabs.com/ssltest/analyze.html?d=stephane-huc.net on voit que tu utilises
une clef ECDH secp256r1

PengouinPdt · Mars 22, 2016, 5:16pm

Ok,

Tiens, par contre, mon serveur nginx me sort ça :

$ sudo nginx -t
nginx: [warn] "ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x1.letsencrypt.org/"

Étonnant ? non ?

Novakin · Mars 22, 2016, 5:23pm

Ca doit venir de la

Change l’IP du resolver, si tu ne veux pas utiliser les DNS de google tu peux utiliser OpenNIC ou FDN