Installation certificat ssl Certbot https

siorac · Mai 27, 2017, 10:23pm

Je viens de terminer le changement et j’ai refait une vérification sur www.ssllabs.com
et cette fois-ci, il m’a bien testé le nouveau certificat, donc les modifications ont bien été prises en compte.
Mais le résultat est toujours à F,
et il y a plusieurs points en rouge :

Valid from Fri, 26 May 2017 14:29:00 UTC
Valid until Thu, 24 Aug 2017 14:29:00 UTC (expires in 2 months and 27 days)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Let’s Encrypt Authority X3
AIA: http://cert.int-x3.letsencrypt.org/
Signature algorithm SHA256withRSA
Extended Validation No
Certificate Transparency No
OCSP Must Staple No
Revocation information OCSP
OCSP: http://ocsp.int-x3.letsencrypt.org
Revocation status Good (not revoked)
DNS CAA No (more info) (EN ORANGE)
Trusted Yes

Additional Certificates (if supplied)
Certificates provided 1 (1287 bytes)
Chain issues Incomplete (EN ORANGE)

Configuration

Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 INSECURE Yes (EN ROUGE)
SSL 2 No

et il y a encore plusieurs autres lignes en dessous, dont plusieurs en rouge.

jimbo · Mai 28, 2017, 6:21am

Oui, ton site doit il fonctionner avec XP et IE 6 ? si non

ajoute ca en dehors de la balise

SSLCompression off
SSLSessionTickets off
SSLProtocol All -SSLv2 -SSLv3 -TLSv1
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-  CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128- SHA256:ECDHE-RSA-AES128-SHA256

et ajoute ca dans la balise vhost

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval';    style-src 'self' 'unsafe-inline'"
</IfModule>

oublie pas d’enlever les vieilles config pas que tu aies ses setins à double, ensuite tu testes ta config

apachectl configtest

et tu restart Apache, tu fais un clear cache sur ssl lab pour re tester

siorac · Mai 28, 2017, 2:31pm

J’ai ajouté ça :

Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Header always set Content-Security-Policy “default-src ‘self’; script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’; style-src ‘self’ ‘unsafe-inline’”

et j’ai testé la config apache, et il me dit que c’est OK.

En revanche, dès l’instant ou j’ajoute la suite, comme tu l’as dit en dehors de la balise, j’ai des erreurs de syntaxe.
Est-ce que c’est bien en dehors de la balise ? Peut-être je ne l’ai pas collé au bon endroit ?
car dans la balise, j’ai déjà quelques lignes à peu près similaires (que j’ai commentées), mais elles sont bien à l’intérieur de la balise.

Voici l’erreur :
AH00526: Syntax error on line 100 of /etc/apache2/sites-enabled/ssl.mondomaine.fr.conf:
Invalid command ‘SSLSessionTickets’, perhaps misspelled or defined by a module not included in the server configuration
Action ‘configtest’ failed.

Actuellement, avant modification, j’avais :
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

J’ai commenté la 2ème et la 3ème ligne, et j’ai laissé active la 1ère (SSLEngine on)

J’a collé tes lignes à la suite, et j’ai ce message d’erreur.

jimbo · Mai 28, 2017, 2:39pm

enléve juste SSLSessionTickets off et test encore une fois la config

siorac · Mai 28, 2017, 6:09pm

En enlevant la ligne SSLSessionTickets off, j’obtiens une autre erreur :
AH00526: Syntax error on line 95 of /etc/apache2/sites-enabled/ssl.mondomaine.fr.conf:
SSLCipherSuite takes one argument, Colon-delimited list of permitted SSL Ciphers (‘XXX:…:XXX’ - see manual)
Action ‘configtest’ failed.

Alors j’ai essayé d’enlever également la ligne SSLCipherSuite (j’ai laissé les 3 autres), et là, quand je refais le test, la syntaxe est ok.
Sur les 5 lignes de départ, il ne me reste donc plus que les 3 suivantes :
SSLCompression off
SSLProtocol All -SSLv2 -SSLv3 -TLSv1
SSLHonorCipherOrder on

jimbo · Mai 28, 2017, 6:18pm

ok re test alors sur SSL labs

siorac · Mai 28, 2017, 7:41pm

J’ai retesté, et là, le score est passé à B.

Le site ssl labs m’affiche notamment en orange, les 2 résultats suivants :

This server accepts RC4 cipher, but only with older protocols. Grade capped to B.
This server’s certificate chain is incomplete. Grade capped to B.

siorac · Mai 29, 2017, 10:51am

Je te remercie beaucoup pour toute ton aide qui m’aura vraiment été très utile !
Le score de B semble convenir. Est-il tout de même préférable d’avoir A+ ?

Et je vais également faire en sorte que le certificat se renouvelle automatiquement.
Pour cela, à priori, il faut que je tape le commande suivante si j’ai bien compris :

crontab -e

Puis j’ajoute la ligne suivante :
15 3 * * * /usr/bin/certbot renew --quiet

jimbo · Mai 29, 2017, 3:56pm

au moins un A c’est pas terrible B

jimbo · Mai 29, 2017, 4:04pm

il faut lui dire ou se trouve ton certificat racine, le CA avec

SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA
SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA_-_G2.pem

peut être tu as aussi un G3
fait un cat /etc/ssl/certs/thawte_Primary_Root_CA pour voi si il se trouve bien la, chez moi c’est le cas

jimbo · Mai 29, 2017, 4:12pm

remplace ta liste de Cipher par

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

siorac · Mai 29, 2017, 9:36pm

il faut que j’ajoute bien ces 2 lignes dans le vhost ?
SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA
SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA_-_G2.pem

Et sinon, dans /etc/ssl/certs/thawte_Primary_Root_CA
j’ai les fichiers suivants :
thawte_Primary_Root_CA_-G2.pem thawte_Primary_Root_CA.pem
thawte_Primary_Root_CA-_G3.pem

jimbo · Mai 30, 2017, 4:12pm

oui et oubli pas de remplacer le cipher suite

siorac · Mai 30, 2017, 8:54pm

J’ai remplacer le cipher suite, pour ça, à priori, c’est ok.

et j’ai ajouté les 2 lignes
SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA
SSLCACertificateFile /etc/ssl/certs/thawte_Primary_Root_CA_-_G2.pem

Mais j’avais une erreur de syntaxe pour la 1ère ligne (thawte_Primary_Root_CA), je l’ai donc supprimée,
et la syntaxe est de nouveau OK.

Mais après test, le score est toujours à B, mais il n’y a plus qu’une ligne en orange dans le résultat :
This server’s certificate chain is incomplete. Grade capped to B.

jimbo · Mai 30, 2017, 8:56pm

tu utilises quoi comme version de apache et de linux ?

siorac · Mai 30, 2017, 9:16pm

Apache 2.4.7
et
Ubuntu 14.04

jimbo · Mai 31, 2017, 4:33pm

je vais investiguer car avec cette version ca fonctionne comme chez moi.

jimbo · Mai 31, 2017, 5:20pm

ok ajoute ca

SSLCertificateFile /etc/letsencrypt/live/[FQDN]/fullchain.pem
SSLCertificateChainFile /etc/letsencrypt/live/[FQDN]/chain.pem

tu devrais trouver ce file dans ton system, remplace bien le FQDN par ton domaine, vérifie qu’il le trouve avec cat

jimbo · Mai 31, 2017, 5:21pm

es tu sur que tu n’as pas une update pour passer en 2.4.8 ou plus car le probléme de chain c’est avant le 2.4.8.

apt-get update
apt-get dist-upgrade

siorac · Mai 31, 2017, 10:01pm

Je viens de faire la mise à jour, mais je suis toujours à la version Apache 2.4.7

En revanche, j’ai ajouté la ligne SSLCertificateChainFile /etc/letsencrypt/live/[FQDN]/chain.pem
(l’autre, je l’avais déjà),
et j’ai refait le test, et ça y est, j’ai un score de A+ !!!
Encore un grand merci pour ton aide !

il ne reste plus qu’à mettre en place le renouvellement automatique du certificat.
Pour cela, il faut que je tape le commande suivante si j’ai bien compris ?

crontab -e

et puis dedans, j’ajoute la ligne suivante ?

15 3 * * * /usr/bin/certbot renew --quiet

et faut-il redémarrer apache pour que ça soit pris en compte ?