Chez oim, forum libreChez oim, forum libre

 


Pages: [1] 2 3   En bas

Auteur Sujet: Le wildcard LetsEncrypt, c'est pour quand ?  (Lu 665 fois)

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.008
  • Grand chevalier du mot de passe
      • ®Smf® Solutions

Si tu vois passer les sous domaines en mode *.ndd pour let's encrypt fais moi signe c'est prévu pour début 2018.

:)
IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #1 le: samedi 06 janvier 2018, 13:41 »

J'attends ça avec impatience ! :ju:

Mais il y a quand même un souci. Dans un premier temps, ils feront uniquement de la validation DNS.
Ca veut dire qu'il faudra créer des enregistrements DNS pour que Let's Encrypt puisse valider le domaine et te signer un certificat.
Il existe bien des API pour faire ça automatiquement, mais ça me gêne d'ouvrir une porte vers mon domaine depuis le serveur. Si un gars réussi à me pirater, il pourrait se faire transférer mon nom de domaine. Je te raconte pas la catastrophe !
C'est pour ça que je ne préfère pas utiliser d'API DNS sur mon serveur. Je veux que mon domaine reste dans son coin, il est très bien sans liaison d'identification sur le serveur.

Sinon, Let's Encrypt va travailler à rendre la validation plus simple et certainement possible via des requêtes HTTP vers le domaine.
A ce moment là, ça vaudra vraiment le coup ! :if:

Sinon, t'inquiète pas, dès que Let's Encrypt offre le wildcard SSL avec validation DNS, je te dis tout ça. :if:

Tiens, ça me fait penser que le certificat chez oim devrait être renouvelé cette nuit ou la nuit prochaine, il me semble. :-\
Il va falloir que je veille un peu. :kf:
IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.008
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #2 le: jeudi 22 février 2018, 20:03 »

Bonsoir,

On reprend le sujet :)

Moi j'ai pas encore vu passer de doc pour les wilcards avec cerbot car c'est cela que j'utilise ?

Si tu as trouvé quelque chose met le lien merci.

:)



IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #3 le: jeudi 22 février 2018, 20:50 »

Rien de tel qu'un bon vieux copier/coller de ce que je t'avais répondu tout à l'heure. :)
Il y a les liens avec. Si tu as déjà Certbot, tu as juste à le mettre à jour. Ils en sont à la V0.21.1 sortie fin janvier.

Sinon, tu réinstalles carrément et tu auras la dernière version :

Code: bash
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Si tu as cURL au lieu de Wget :

Code: bash
curl -O https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Ensuite, tu exécutes et ça se fait tout seul.


Voilà ce que je disais :

Pas la peine d'attendre le 1 mars, c'est déjà commencé.
Le script acme.sh a été mis à jour pour pouvoir générer des certificats wildcard. :)
Il me semble que Certbot est prêt aussi.

Mais attention ! Comme je te l'avais dit, c'est de la validation DNS.
Avec acme.sh, tu peux y arriver si tu trouves l'API qui correspond à ton registrar ou utilitaire serveur. Ils en proposent des dizaines.

Vivement qu'ils passent à la validation HTTP, je n'attends que ça. :gd:
IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.008
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #4 le: jeudi 22 février 2018, 22:18 »

J'ai testé tout s'est bien mis à jour mais toujours wildcard non supporté :)

Oui avec cerbot :)

Zut message coupé :)
IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #5 le: jeudi 22 février 2018, 23:19 »

Utilise acme.sh, la syntaxe est à peu près la même et tu as toutes les API pour créer les enregistrements DNS automatiquement.

Pour installer acme.sh, c'est aussi simple que Certbot :

Code: bash
wget -O -  https://get.acme.sh | sh
OU

Code: bash
curl https://get.acme.sh | sh
OU ENCORE

Code: bash
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install

Ensuite, le bidule est dans le dossier ~/.acme.sh et tous les certificats seront placés dans ce dossier.
Il te restera donc à copier les certificats au bon endroit dès que tu les as.
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #6 le: vendredi 23 février 2018, 13:39 »

Petite rectification, acme V2 n'est pas encore tout à fait prêt. C'est prévu pour la fin du mois.
Je me suis battu toute la nuit pour avoir un wildcard sans succès, bien entendu...

Voilà ce qui est dit chez Let's Encrypt :

Anglais :
We previously communicated that we would launch ACMEv2 and wildcard certificate support on February 27th. ACMEv2 and wildcard support is nearly ready but we will be delaying the full launch in order to give our teams more time to complete testing and quality assurance activities. While we work hard to hit deadlines, we are inclined to prioritize a quality release over hitting a deadline.

The biggest reason for this delay is the recent TLS-SNI deprecation. This unexpectedly pulled most engineering resources away from ACMEv2 and wildcard support for approximately two weeks.

We introduced a public test API endpoint511 for the ACME v2 protocol and wildcard support on January 4, 2018. Thank you to everyone who has provided feedback on the staging endpoint.

We will provide updates here weekly and encourage client developers to continue to utilize the staging endpoint to prepare for ACMEv2 and wildcard issuance.



Français :
Nous avons précédemment indiqué que nous lancerions le support des certificats ACMEv2 et wildcard le 27 février. Le support d'ACMEv2 et de wildcard est presque prêt, mais nous allons retarder le lancement complet afin de donner plus de temps à nos équipes pour compléter les tests et les activités d'assurance qualité. Alors que nous travaillons dur pour respecter les délais, nous sommes enclins à prioriser une publication de qualité avant une date limite.

La principale raison de ce retard est la récente dépréciation de TLS-SNI. Cela a monopolisé de manière inattendue la plupart des ressources d'ingénierie autour du support ACMEv2 et des caractères génériques pendant environ deux semaines.
Nous avons introduit une API de test publique endpoint511 pour le protocole ACME v2 et la prise en charge des caractères génériques le 4 janvier 2018. Merci à tous ceux qui ont fourni des commentaires sur le point de terminaison de transfert.

Nous fournirons des mises à jour ici chaque semaine et encouragerons les développeurs clients à continuer d'utiliser le point de terminaison intermédiaire pour préparer l'émission de ACMEv2 et des caractères génériques.

Voilà, voilà... :iz:
Tain ! Je me suis battu toute la nuit pour rien, je viens juste d'avoir la réponse... :je:


J'ai juste réussi à avoir un certificat wildcard de test sur l'API ACME V2 provisoire et l'API DNS de Cloudflare (j'ai modifié quelques "trucs sensibles" dans les lignes qui sont justes en dessous). ;)

Code: bash
 acme.sh --issue -d my_domain.tld -d *.my_domain.tld --dns dns_cf --test
[ven. févr. 23 12:03:38 CET 2018] Using stage ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
[ven. févr. 23 12:04:02 CET 2018] Multi domain='DNS:my_domain.tld,DNS:*.my_domain.tld'
[ven. févr. 23 12:04:02 CET 2018] Getting domain auth token for each domain
[ven. févr. 23 12:04:34 CET 2018] Getting webroot for domain='my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Getting webroot for domain='*.my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:05:09 CET 2018] Adding record
[ven. févr. 23 12:05:44 CET 2018] Added, OK
[ven. févr. 23 12:05:44 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:06:17 CET 2018] Adding record
[ven. févr. 23 12:06:33 CET 2018] Added, OK
[ven. févr. 23 12:06:33 CET 2018] Sleep 120 seconds for the txt records to take effect
[ven. févr. 23 12:08:35 CET 2018] Verifying:my_domain.tld
[ven. févr. 23 12:09:05 CET 2018] Success
[ven. févr. 23 12:09:05 CET 2018] Verifying:*.my_domain.tld
[ven. févr. 23 12:09:22 CET 2018] Success
[ven. févr. 23 12:11:30 CET 2018] Verify finished, start to sign.
[ven. févr. 23 12:11:46 CET 2018] Cert success.
[ven. févr. 23 12:11:46 CET 2018] Your cert is in  /~/.acme.sh/my_domain.tld/my_domain.tld.cer
[ven. févr. 23 12:11:46 CET 2018] Your cert key is in  /~/.acme.sh/my_domain.tld/my_domain.tld.key
[ven. févr. 23 12:11:46 CET 2018] The intermediate CA cert is in  /~/.acme.sh/my_domain.tld/ca.cer
[ven. févr. 23 12:11:46 CET 2018] And the full chain certs is there:  /~/.acme.sh/my_domain.tld/fullchain.cer
IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.008
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #7 le: vendredi 23 février 2018, 18:56 »

Bonjour,

Oui le certificat de tests avec l'API lui je savais qu'il fonctionnait mais pour le reste comme toi j'ai fait pleins de tests pour rien tout compte fait.

Un truc provisoire ne m'intéresse pas de suite car j'ai rien de plus pour le moment donc on va encore attendre un peu et voir l'évolution de la bête :)

IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #8 le: vendredi 23 février 2018, 20:06 »

La semaine prochaine, ça devrait être bon. ;)
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #9 le: vendredi 02 mars 2018, 20:31 »

Rooooh la la la la la la la la ! Le Wildcard n'est pas encore prêt ! :gk:

Je viens de poser la question sur le forum LetsEncrypt, il faut encore attendre... :(
Tu me diras, je préfère une sortie retardée qui marche bien et sans aucun défaut plutôt que le respect du calendrier et un truc qui déconne à tout va, comme Microsoft sait si bien faire, par exemple (Millenium, Vista, 8 ).

Patience ! De toute façon, j'ai une cron qui teste le sous domaine prévu pour le wildcard et je serai prévenu dès qu'il est dispo.
J'ai aussi une autre cron pour détecter les mises à jour de acme.sh & Crypt::LE, mais bon. C'est ma cuisine à moi.


Sinon, les peurs que j'avais au début vis à vis de mon domaine et des API DNS ne sont pas fondées.
Il me suffit simplement de créer un utilisateur distant qui n'a accès qu'aux seuls enregistrements TXT du domaine chez-oim.org et c'est tout.
L'utilisateur distant créé ne peut rien modifier d'autre que les enregistrements TXT du domaine. Pas possible de créer une boite mail, un site, une base, bref ! Rien sauf du TXT !
Les risques que je craignais n'existent donc pas. :)

Mais bon, ça, c'est à voir avec la config serveur ou le registrar de chacun.

Avec CertBot, il faut suivre la progression de l'utilitaire sur le site de LetsEncrypt.
Sinon, il suffit d'installer l'outil acme.sh avec toutes ses API DNS et ça roule. C'est la même syntaxe que Certbot à l'utilisation.
Il est recommandé de procéder en ROOT, mais ce n'est pas une obligation.


ATTENTION !

Il est possible de tester le Wilcard par le biais de fakes certificats (des certificats qui ne sont pas valides pour une utilisation par un navigateur qui les rejettera en bloc).
Mais des limites sont imposées par LetsEncrypt ! Elles sont larges, mais il faut les connaitre. De toute façon, LetsEncrypt impose aussi des limites en temps normal. Personne ne le sait, mais c'est le cas.


Voici ces limites : (Pour tests ACME v2 avec des Fakes certificats uniquement !)
Pour les limites en temps normal, avec des certificats réels, consulter le site de LetsEncrypt (en Anglais).
  • La limite de Certificats par domaine enregistré est de 30 000 par semaine.
  • La limite du nombre de copies en double est de 30 000 par semaine.
  • La limite des validations échouées est de 60 par heure.
  • La limite de comptes par adresse IP est de 50 comptes par période de trois heures et par IP.

IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.008
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #10 le: dimanche 04 mars 2018, 08:36 »

Bonjour,

Quelques infos peut-être fin de ce mois :)
IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #11 le: dimanche 04 mars 2018, 11:04 »

A cette heure, on ne sait pas trop quand ça va sortir.

LetsEncrypt disait le 27 février 2018 : "Il n'y a aucun problème majeur connu avec le point de terminaison de test ACMEv2 / wildcard. Les tests de qualité ACMEv2 et wildcard se poursuivent. Aucune date de sortie à annoncer pour le moment."
Il n'existe aucune todo list, pas de calendrier même simplement indicatif, pas d'idées sur les problèmes rencontrés, etc. :iz:

La seule chose qu'on sache, c'est qu'ils ont du tout reprendre à cause de la dépréciation de TLS-SNI qui est arrivée comme un cheveu sur la soupe en début d'année.

Mais bon, on va pas râler non plus. C'est quand même une histoire de certificats de sécurité gratuits et c'est pas rien.
Acheter un certificat wildcard coute la peau du cul ! O0

Je ne crois pas que j'ai donné ce lien, ça parle du retard : (En anglais)
ACMEv2 and Wildcard Launch Delay
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #12 le: samedi 10 mars 2018, 16:51 »

Nouvelle info du 5 mars 2018 :

Les tests continuent.
Nous avons trouvé et corrigé au moins un problème majeur avec le support de ACMEv2 et avons apporté un certain nombre d'améliorations depuis la dernière mise à jour.
Aucune date de sortie pour le moment, mais nous nous rapprochons du but. Merci pour votre patience.


Voilà, voilà. Patience, ça arrive ! :ig:
En attendant, le certificat de chez-oim.org a été renouvelé et ce n'est pas un wildcard. Mais ce n'est pas grave, il n'y pas le feu. :)
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.383
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #13 le: mardi 13 mars 2018, 18:39 »

Ca y est, ACMEv2 est disponible et, avec lui, les certificats Wildcard Lets Encrypt ! :gq:

Un certificat wildcard vient d'être créé pour ce site et tout s'est très bien passé. :)
IP archivée

JCFM

  • Observateur
  • Pipelette pathologique
  • ******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 1.586
  • Choléra officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #14 le: mardi 13 mars 2018, 19:03 »

Ca y est, ACMEv2 est disponible et, avec lui, les certificats Wildcard Lets Encrypt ! :gq:

Un certificat wildcard vient d'être créé pour ce site et tout s'est très bien passé. :)

Tu es content ..........................cela te coûte combien ?
IP archivée
Jean Claude :gt: Le "Choléra" officiel de chez Oim !
Pages: [1] 2 3   En haut
 

+ Réponse Rapide

Page générée en 0.243 secondes avec 25 requêtes.