Let's Encrypt

PengouinPdt · Mars 21, 2016, 11:50pm

Ahhh, je préfère largement ça !

Ma clé DH Param vient de terminer - elle aura mis près de 4 heures pour être générée ! pfff

“Stay tuned!” Je vérifie ma config, et on va tester la conn https !

Novakin · Mars 21, 2016, 11:50pm

j’ai toujours un timeout

ricardo · Mars 21, 2016, 11:57pm

le premier lien ne fonctionne pas, essai le second ou ajoute un slash à la fin.
http://stephane-huc.net/.well-known/

Novakin · Mars 21, 2016, 11:59pm

Je teste directement sur le domaine http://stephane-huc.net et impossible d’acceder à la page

PengouinPdt · Mars 22, 2016, 8:26am

Ouais, j’ai apparemment un problème, j’ai un tas de petit malin qui m’envoie des gets dans la goule !

tcp 0 0 192.168.147.3:9502 68.235.39.11:80 ESTABLISHED 0 9123797 173553/wget
tcp 0 0 192.168.147.3:60242 208.77.20.11:80 ESTABLISHED 0 9110745 173554/wget
tcp 0 0 192.168.147.3:60264 208.77.20.11:80 ESTABLISHED 0 9123009 173549/wget
tcp 0 0 192.168.147.3:60181 208.77.20.11:80 ESTABLISHED 0 9107705 173558/wget
tcp 0 0 192.168.147.3:9491 68.235.39.11:80 ESTABLISHED 0 9112778 173552/wget
tcp 0 0 192.168.147.3:6073 91.189.91.13:80 ESTABLISHED 0 9107709 173560/wget
tcp 0 0 192.168.147.3:60239 208.77.20.11:80 ESTABLISHED 0 9110307 173556/wget
tcp 0 0 192.168.147.3:9499 68.235.39.11:80 ESTABLISHED 0 9122186 173555/wget
tcp 0 0 192.168.147.3:60225 208.77.20.11:80 ESTABLISHED 0 9108981 173551/wget
tcp 0 0 192.168.147.3:60174 208.77.20.11:80 ESTABLISHED 0 9107690 173550/wget
tcp 0 0 192.168.147.3:6104 91.189.91.13:80 ESTABLISHED 0 9108682 173559/wget
tcp 0 0 192.168.147.3:22209 91.189.92.201:80 ESTABLISHED 0 9107954 173544/wget
tcp 0 0 192.168.147.3:23974 91.189.91.23:80 ESTABLISHED 0 9111091 173543/wget
tcp 0 0 192.168.147.3:60252 208.77.20.11:80 ESTABLISHED 0 9111482 173548/wget
tcp 0 0 192.168.147.3:60232 208.77.20.11:80 ESTABLISHED 0 9109660 173557/wget
tcp 0 0 192.168.147.3:22269 91.189.92.201:80 ESTABLISHED 0 9122560 173547/wget
tcp 0 0 192.168.147.3:6074 91.189.91.13:80 ESTABLISHED 0 9106861 173561/wget
tcp 0 0 192.168.147.3:23896 91.189.91.23:80 ESTABLISHED 0 9106787 173545/wget
tcp 0 0 192.168.147.3:23897 91.189.91.23:80 ESTABLISHED 0 9106794 173546/wget

Ouais, non la fatigue n’aide pas à y voir clair … tsss …
Ça, c’est plutôt, si je ne me trompe pas, apt-mirror ! tsss
Va falloir que je trouve le moyen de limiter son action, car il me plombe les ressources CPU. grrrr

seb-ksl · Mars 22, 2016, 7:27am

Pour info, je sais pas si tu t’en es finalement sorti, mais je suis passé à Let’s Encrypt récemment et j’avais donné ma marche à suivre (qui me semble plus simple que la tienne ?) à Ricardo, ici. Si ça peut aider ;-).

PengouinPdt · Mars 22, 2016, 11:48am

Merci seb-ksl.
Je regarderais ça dès que possible. Vraiment pas assez dormi, moi. tsss

Mais, bon le serveur tourne !
Avec redirection vers HTTPS active.

Booo : https://www.ssllabs.com/ssltest/analyze.html?d=stephane-huc.net

PengouinPdt · Mars 22, 2016, 2:24pm

Assessment failed: Unable to connect to the server

Que ça me lourde !
Pourquoi il n’arrive pas à se connecter ssllabs ?
Qu’est-ce qui peut l’en empêcher ?

Novakin · Mars 22, 2016, 4:21pm

Tu as bien configuré tes ciphers?

https://mozilla.github.io/server-side-tls/ssl-config-generator/

PengouinPdt · Mars 22, 2016, 4:47pm

Je te remercie.

J’ai modifié pour faire “joujou” en mode Intermediate ou Modern.
En mode intermediate, je me connecte avec FF (v45.0) ou Opera (v12.16) sous Linux
En mode modern, seul FF se connecte !

Bien, déjà, ça semble bon.
Bascule de HTTP vers HTTPS : ok!

J’ai enfin eu le droit à un zoli “A+” !!!

Novakin · Mars 22, 2016, 5:00pm

Voilà ce que j’utilise chez moi :

(Ça permet d’avoir un maximum de navigateurs et OS supportés sans trop perdre en sécurité)

ssl_certificate /etc/letsencrypt/live/noobunbox.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/noobunbox.net/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers “ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA”;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 8k;
ssl_session_tickets off;
add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/noobunbox.net/chain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

Par contre commente la ligne suivante si tu n’utilises pas HTTPS sur tout tes sous-domaines. Ca risque de les rendre inaccessibles sinon

add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”;

PengouinPdt · Mars 22, 2016, 5:05pm

Là, sur ce coup, je te remercie … en effet, mon blog est revenu ! _[quote=“Novakin, post:16, topic:68791”]
resolver_timeout 5s;
[/quote]

Ahhh, le coup du symbole ‘_’ et non pas ‘-’ … je comprends mieux pourquoi il ne reconnaissait pas cette option - bon, perso, j’ai mis à 3s
Et, resolver sur 127.0.0.1.

Je n’ai pas paramétré cette option, l’ayant vu dans un fichier de config, mais comme je ne me suis pas encore renseignée dessus … pas fait

Novakin · Mars 22, 2016, 5:12pm

En gros ça te permet de mieux sécuriser l’échange de clé ECDH.

Sur ton test https://www.ssllabs.com/ssltest/analyze.html?d=stephane-huc.net on voit que tu utilises
une clef ECDH secp256r1

PengouinPdt · Mars 22, 2016, 5:16pm

Ok,

Tiens, par contre, mon serveur nginx me sort ça :

$ sudo nginx -t
nginx: [warn] "ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x1.letsencrypt.org/"

Étonnant ? non ?

Novakin · Mars 22, 2016, 5:23pm

Ca doit venir de la

Change l’IP du resolver, si tu ne veux pas utiliser les DNS de google tu peux utiliser OpenNIC ou FDN

PengouinPdt · Mars 22, 2016, 5:31pm

Non, pareil :

resolver 80.67.169.12 80.67.169.40 142.4.204.111 142.4.205.47 valid=300s;
resolver_timeout 3s;

Et, j’ai le même message d’erreur !

Novakin · Mars 24, 2016, 12:20am

à cause d’une limite de messages par jour pour les nouveaux membres j’ai du continuer cette discussion avec PengouinPdt par email.

Je me permets de poster la solution trouvée.

Pour que l’OSCP Stapling fonctionne il faut bien ajouter une ligne

ssl_trusted_certificate /etc/letsencrypt/live/votre-domaine.tld/chain.pem;

PengouinPdt · Mars 24, 2016, 7:25am

Après vérification à nouveau ce matin, ça marche en effet … entre temps, rien changé de plus !
Mais bon, le ssl trusted certificate y était mais configuré sur la fullchain …
ca semble être une erreur relayé sur certains tutos, ou une erreur de compréhension.

Novakin · Mars 24, 2016, 1:31pm

ssl_trusted_certificat doit pointer sur les certificats intermédiaires de l’autorité de certification utilisée pour générer les certificats

avec let’s encrypt ces informations sont contenus dans chain.pem

Esprit · Mars 25, 2016, 9:19am

Liens intéressants sur le sujet :

Ça peut toujours servir.