Archives de catégorie : Sécurité

Les certificats génériques gratuit de Let’s Encrypt

Bonjour,

Pour ceux qui ne suivent pas trop les nouvelles du monde des certificats, je vous rappelle que les certificats génériques gratuits vont faire leurs apparitions, grâce à Let’s Encrypt, le 27 Février 2018! et que depuis le 4 Janvier nous sommes en phase de tests.

First, we’re planning to introduce an ACME v2 protocol API endpoint and support for wildcard certificates along with it. Wildcard certificates will be free and available globally just like our other certificates. We are planning to have a public test API endpoint up by January 4, and we’ve set a date for the full launch: Tuesday, February 27.

Avant toute chose, qu’est-ce qu’un certificat générique ou wildcard certificate ?

Le principe est simple, au lieu de déclarer une multitude de sous domaines utilisables avec votre certificat (fig 1.),

fig 1.
fig 1.

vous pourrez créer un certificat automatiquement multi « sous » domaine. Il aura une déclaration de type *.exemple.com. D’autres emplois de l’ * (astérisque) sont également  envisageables. Attention, certaines règles régissent l’emploi de l’astérisque. Je vous invite à consulter un document sur les certificats génériques.

Préparez-vous pour le renouvellement de vos certificats en certificats génériques.

N’oubliez pas *.exemple.com ne prend pas en compte exemple.com. Donc pensez à générer vos certificats pour vos domaines et « sous » domaines

$ sudo certbot certonly <options> -d exemple.com -d *.exemple.com

En attendant que l’application Acme ne soit complètement stable, je vous invite à transmettre un paramètre supplémentaire pour que celle-ci utilise le bon endpoint

$ sudo certbot certonly --server https://acme-v02.api.letsencrypt.org/directory -d exemple.com -d *.exemple.com

Vous pouvez également placer ce paramètre dans le fichier /etc/letsencrypt/cli.ini

# This is an example of the kind of things you can do in a configuration file.
# All flags used by the client can be configured here. Run Certbot with
# "--help" to learn more about the available options.
#
# Note that these options apply automatically to all use of Certbot for
# obtaining or renewing certificates, so options specific to a single
# certificate on a system with several certificates should not be placed
# here.
#
# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096
#
# Uncomment and update to register with the specified e-mail address
email = e-mail@exemple.com
#
# Uncomment to use the standalone authenticator on port 443
authenticator = standalone
#standalone-supported-challenges = tls-sni-01
#
# Uncomment to use the webroot authenticator. Replace webroot-path with the
# path to the public_html / webroot folder being served by your web server.
#authenticator = webroot
#webroot-path = /usr/share/nginx/html
agree-tos = True
debug = False
#
server = https://acme-v02.api.letsencrypt.org/directory