Topic: HTTPS pour tous

Vous avez vu ça? https://letsencrypt.org/howitworks/

Ça vous paraît prometteur?

Bon week-end

Re: HTTPS pour tous

Pour l'instant c'est du vaporware.

Sylvain

Re: HTTPS pour tous

Sorry for writing in English, my French is close to non-existing but I really wanted to reply to this.

TuxFamily was the first thing I thought of when I heard of "Let's Encrypt" (on SoylentNews). Not because of the goal to make ssl configuration easier, but because it might provide an alternative to the self-signed certificate. If it gains traction (seeing mozilla, eff and identrust on the list of sponsors makes me hopeful).

Don't get me wrong, the current self-signed solution works great for the important stuff (ssh&git obviously, but also web-interfaces for CMSes), but having https with a certificate already accepted by default in most browsers (without warnings and having to add exceptions) would give a very good impression for the more casual visitors to projects sites and forums.

Re: HTTPS pour tous

Hi slinger,

I fully agree, but for now, this is only vaporware :-)

Sylvain

Re: HTTPS pour tous

I don't think it was ever vaporware but it was a looong project, just as they said. They're getting there, aren't they?

J'ai regardé une conférence par un type de Let's Encrypt (DebConf 2015).
Je ne sais pas si j'ai bien compris mais j'ai eu l'impression que pour profiter de let's Encrypt, il faut déjà avoir un CA "officiel", pas self-signed. J'espère avoir mal compris. ??

Re: HTTPS pour tous

Bonjour,

Let'sEncrypt commence à émerger pour tout le monde. J'ai testé sur SSL LABS QUALYS un serveur dédié chez OVH, fait avec Nginx, avec Let'sEncrypt comme certification:
https://memo-linux.com/configurer-le-se … an-jessie/

Ça donne A+ et semble-t-il que du bon dans les détails: https://www.ssllabs.com/ssltest/analyze … -linux.com

Comparez avec le site sécurisé de votre banque où vous consultez votre compte et où vous faites des opérations qui ne regardent que vous et la banque :-(

Re: HTTPS pour tous

Je pense que le projet n'est plus un vaporware et vient officiellement de décoller.

Je me prends à rêver qu'il soit implémenté sur l'infra TuxFamily et que tous les sites soit automatiquement accessibles en HTTPS avec un certificat signé.

En plus, avec leur outil de génération auto de certificat signé, ça parait vraiment à portée de main.

A investiguer donc mais c'est plutôt une bonne nouvelle ce projet. Je vais m'empresser de le tester :-)

Re: HTTPS pour tous

Coucou Slym,

N'oublie pas de nous dire ce que tu en penses avec l'avoir testé.

je n'ai pas vraiment trouvé de réponse à mes questions:

Lets'Encrypt est-il ouvert à tous les sites ou seulement à ceux qui ont déjà un certificat signé par une autorité extérieure (comme Gandi)? en d'autres termes, est-ce ok pour TuxFamily?

Si on est hébergé chez TF mais qu'on a pris un nom de domaine, suffit-il que TF mette en route le script de Let'sEncypt pour profiter de TLS?

J'ai entre autre un nom de domaine pris chez Azote.org en fr.cr, est-ce que ça marcherait aussi??

Bon test en attendant

Re: HTTPS pour tous

Hello,

Petit résumé de la situation :
- Let's encrypt émerge, en effet ; il semble être passé de vaporware (ça n'existe pas) à fancyware (c'est mignon, mais ça ne fait pas de miracle).
- TuxFamily devrait se pencher sur les impacts de la limitation à 90 jours des certificats émis par Let's encrypt.
- Idéalement, TuxFamily pourrait faire bénéficier tous ses sites *.tuxfamily.org d'un certificat TLS valide... si Let's encrypt daignait supporter la chose, ce qui n'est bien sûr pas le cas... https://community.letsencrypt.org/t/ple … icates/258
- En faire bénéficier TOUS les hébergés (*.tuxfamily.org + domaines persos) requière des développements spécifiques (upload et stockage des certificats, accès par les webservers, sécurité). Avec un peu de chance, TuxFamily pourrait piocher dans des développements tiers.

En résumé, Let's Encrypt pour TuxFamily, ça n'est pas encore pour tout de suite.

Re: HTTPS pour tous

Bonjour à tous,

C'est le jour des bonnes nouvelles :-)

On commence l'expérimentation de certificats Let's Encrypt autogénérés et auto-renouvelés, c'est déjà en place pour les nouveaux sites web demandés via le panel. Mais pour l'instant, Let's Encrypt limite à 5 certifs par semaine par domaine (domaine au sens registrar "domaine.tld"), donc on ne peut demander plus de 5 certifs par semaine sur le domaine tuxfamily.org, mais cette limitation est entrain d'être levée côté Let's Encrypt.

Donc, pas de grande annonce pour l'instant, vu qu'on ne peut pas encore générer des certifs pour tous les sites, ceux qui veulent un certif valable pour participer à l'expérimentation, demandez ici ;-)

Sylvain

Re: HTTPS pour tous

Ah, bonne nouvelle :-)

Juste une question pour info: - pour les gens ici qui ont un domaine qui n'est pas tuxfamily.org, qu'est-ce qui va se passer? On peut participer?

Mais pourquoi Iceweasel dit que le forum de TF en https est sécurisé et certifié par GlobalSign nv-sa?? Le SHA1 n'est donc plus le même que sur la page: https://tuxfamily.org/en/news/2008051401

Re: HTTPS pour tous

librefan wrote:

Juste une question pour info: - pour les gens ici qui ont un domaine qui n'est pas tuxfamily.org, qu'est-ce qui va se passer? On peut participer?

Tous les domaines qui ne sont pas en tuxfamily.org bénéficient d'un certificat généré avec Let's Encrypt :-)

$ openssl s_client -servername librefan.eu.org -connect 212.85.158.4:443
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X1
verify return:1
depth=0 CN = librefan.eu.org
verify return:1

https://www.ssllabs.com/ssltest/analyze … fan.eu.org

librefan wrote:

Mais pourquoi Iceweasel dit que le forum de TF en https est sécurisé et certifié par GlobalSign nv-sa?? Le SHA1 n'est donc plus le même que sur la page: https://tuxfamily.org/en/news/2008051401

Pour l'instant, on ne peut pas générer les ~2000 certificats dont on a besoin sur le domaine tuxfamily.org avec Let's Encrypt, parce que la limite est pour l'instant de 5 certifs/semaine, avec l'expiration à 3 mois, et un renouvellement au bout de  2 mois pour se laisser un mois d'avance, cela fait que l'on peut générer au maximum 5*(2*30/7) = 42 certificats.

Du coup, en solution alternative on a demandé un certificat wildcard à GlobalSign, de part leur programme Free SSL Certificates for Open Source Projects qu'ils ont accepté ;-) On va probablement garder cette solution, remplacer les certifs tous les 2 mois c'est assez automatisable sur les serveurs web et il fallait de toute façon une solution pour recharger les nouveaux certif et ceux renouvellés par Let's Encrypt. Par contre, c'est beaucoup plus compliqué sur tous les autres services qui ont aussi besoin de TLS (XMPP, FTP, POP, IMAP, SMTP, IRC), certains ont besoin d'un assemblage particulier des certificats + clef privé + DH digne d'une belle connerie. La palme d'or de connerie revenant à pure-ftpd dont le chemin vers un unique certificat combined est choisi à la compilation.

Sylvain

13 (edited by librefan 2016-03-08 09:46:16)

Re: HTTPS pour tous

Hello les Batman du Réseau,

Félicitations! Beau travail! Je me suis aperçu ce matin du certificat Let'sEncrypt quand je me connecte à mes sites TF. Hurrah! :dance:

Merci pour tes explications Gradator, et merci pour la ligne de commande, pour instruire ceux comme moi qui en ont bien besoin. Je connais SSLLabs qui est un bon joujou pour les ignares comme moi. Pour Libre-Fan, ça ira très bien mais peut-être pas pour une banque qui aurait un A+ (si ça existe), d'après ce que dit Bortzmeyer.

Je vois que SSLabs met A et pas A+; c'est juste à cause de ça?

3     In trust store     DST Root CA X3   Self-signed   
Fingerprint SHA1: dac9024f54d8f6df94935fb1732638ca6ad77c13
Pin SHA256: Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate


Je m'aperçois aussi que download.tuxfamily.org a maintenant son certificat GlobalSign. Hurrah!

Re: HTTPS pour tous

La différence entre A et A+ est lié à la présence d'un label HSTS.

Cela veut dire que le site passe alors en mode HTTPS-seulement forcé à "vie", voila ce qu'on utilise par exemple sur le forum dans un .htaccess pour obtenir un A+:

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /

    RewriteCond %{HTTPS} !=on
    RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301]
</IfModule>

<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=15768000"
</IfModule>

Attention, avant de forcer un site en HTTPS il faut que tous les soucis remontés (mixed-content principalement) en HTTPS par le navigateur soient corrigés !  Globalement, pour les ressources externes (images, css, javascript, fontes), ça veut dire changer les liens de la forme "http://logo.tuxfamily.org/tflogo.png" vers la forme "//logo.tuxfamily.org/tflogo.png" pour que le protocole soit choisi automatiquement.

La weak signature c'est parce que la racine "DST Root CA X3" est mal-signée, c'est sans importance vu que le certificat racine est en dur sur ta machine, la signature c'est intéressant pour vérifier, mais tu n'as pas besoin de vérifier la racine vu que tu n'as pas d'autre choix que de devoir lui faire  confiance… c'est pour ça que ssllabs dit que c'est sans importance. C'est le gros point faible généralement soulevé de X.509.

Re: HTTPS pour tous

Merci beaucoup de toutes ces infos, gradator.
J'avais en effet bien compris pour la weak signature.

En tout cas si je force mes sites avec NoScript, ça a l'air de marcher bien. C'est sans danger avec NoScript.