Debian, nginx et Let's Encrypt

Le
Jean-Marc
--Signature=_Wed__22_Feb_2017_11_38_14_+0100_4PnpFUx8B9iy/Rgb
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

salut la liste,

Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site.

Tout fonctionne correctement côté Let's Encrypt et du certbot.

Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4

Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.

Mais si j'ouvre mon site, dans le détail du certificat, c'est toujours=
l'ancien.
Sur mon serveur, il est bien renouvelé.

Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.

Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr=
s certbot ?
On se base sur le service certbot et une modif' du fichier cert.pem ?


Jean-Marc <jean-marc@6jf.be>

--Signature=_Wed__22_Feb_2017_11_38_14_+0100_4PnpFUx8B9iy/Rgb
Content-Type: application/pgp-signature

--BEGIN PGP SIGNATURE--

iQIzBAEBCAAdFiEEEWjgcRC0dCXkfm9hQHHLXC3pxPwFAlitahYACgkQQHHLXC3p
xPx0LA//VKkSDDNhvzfafjgbF5XcqQFwt0GX2RFAX2wU+bdmB0vNWiRjtqFoGRqm
CUBOw+kAMnM32BWJ2kCnExmlIgxzH1u2rstEHNWjfU8xqvJQA/tg19v0iY4VCvF/
VJa7GG2z9mGjUCQWSjFEUx2JTzrwNTe/aHyar63eM+NE+qGsxGUUiENr0RRyNzXm
hPDOTo6olJQf80Je6HZ7SM2exzdy70jhGfPrO2TZGxhaiWHC7Bxr3kFvDMVlTr6e
SIuDyAbpTPCqIapjZWuC7Vk38aH+Ttr7MwNUX4XiLUP21L9hhu2suT4vEvv6qZtA
Rl59Ljo57yCWdiLugiq8Bwp6KaI5HJiRrQYbzLN9oWoS9gOZmiUGhA2fPAt36O2d
LRvB0+OUnaBo82jGTHg0Z4tQpVlOuLrW41cHhwDAMW4/xZbt8iLKylciz9g5vdGD
RtN9C/WgrN1mvZjQentr3eBDAy3tDZrWBlh6ji27JepCp/wbVKP5+QQXf/0OTf99
+0F/+9ccmTnw1RI5dUwbA0de0zlQlEOI19GTsg/QiB3mRGnNzVsCca/mTmlPGnVb
3YpUuYEwYwsnOZey0uGKZPOE973oaXxoYRNAN8FcSsK1pvZvNjz3ByzJtP40gviy
qe/wjo7saOCoeCxz3InYwGbd4R1V34luU//N3SiYrMsz+jr1fzQ=
=l2kF
--END PGP SIGNATURE--

--Signature=_Wed__22_Feb_2017_11_38_14_+0100_4PnpFUx8B9iy/Rgb--
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sébastien Dinot
Le #26426966
Jean-Marc a écrit :
Une idée de comment automatiser cela ?

Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"
On peut encapsuler les opérations dans des scripts s'il y a par exemple
plusieurs services à redémarrer :
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook /root/bin/certbot-pre-hook.sh --post-hook /root/bin/certbot-post-hook.sh
On peut aussi adapter (ou commenter si on le fait via un autre cron) le
script /etc/cron.d/certbot.
Sébastien
--
Sébastien Dinot,
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Thierry Bugier Pineau
Le #26426965
------AC1IBYKRWOBIABO6UCQASJS9HX9Z74
Content-Type: text/plain;
charset=utf-8
Content-Transfer-Encoding: quoted-printable
Bonjour
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans l'arborescence /etc/ngin x/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt mai ntient le certificat courant, et fait un lien symbolique dessus pour nginx .
Ça fonctionne depuis près d'un an sans souci. Pas de redé marrage de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est pe ut être possible de faire plus simple, car Let's encrypt a probablemen t évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Le 22 février 2017 11:38:14 GMT+01:00, Jean-Marc
salut la liste,
Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site .
Tout fonctionne correctement côté Let's Encrypt et du certbot .
Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4
Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.
Mais si j'ouvre mon site, dans le détail du certificat, c'est toujou rs
l'ancien.
Sur mon serveur, il est bien renouvelé.
Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.
Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr ès certbot
?
On se base sur le service certbot et une modif' du fichier cert.pem ?
Jean-Marc

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez exc user ma brièveté.
------AC1IBYKRWOBIABO6UCQASJS9HX9Z74
Content-Type: text/html;
charset=utf-8
Content-Transfer-Encoding: quoted-printable
<html><head></head><body>Bonjour<br>
<br>
J&#39;utilise Let&#39;s encrypt et nginx.<br>
<br>
J&#39;ai fait le choix de placer les certificats dans l&#39;arborescence / etc/nginx/ssl<br>
<br>
Pour utiliser les certificats, j&#39;ai examiné où Let&#39;s enc rypt maintient le certificat courant, et fait un lien symbolique dessus pou r nginx.<br>
<br>
Ça fonctionne depuis près d&#39;un an sans souci. Pas de red émarrage de nginx à faire.<br>
<br>
J&#39;ai suivi les instructions de cette page pour l&#39;essentiel; mais i l est peut être possible de faire plus simple, car Let&#39;s encrypt a probablement évolué depuis.<br>
<br>
Jean-Marc &lt;&gt;
</pre></block quote></div><br>
-- <br>
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez exc user ma brièveté.</body></html>
------AC1IBYKRWOBIABO6UCQASJS9HX9Z74--
andre_debian
Le #26426973
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pose d'autres :
- combien de temps dure un certificat Let's Encrypt ?
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ça peut intéresser d'autre personnes...
Merci.
André
Safranil
Le #26426982
Bonjour à tous,
- combien de temps dure un certificat Let's Encrypt ?
Un certificat est valide pendant 3 mois.
- leur certificat est-il assez blindé ?

Qu'entendez vous par "blindé" ?
- est-il plus ou moins judicieux que celui de StartSSL ?

Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, j’étais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
-
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-s tartcom-certificates/
- https://support.apple.com/en-us/HT202858
-
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.h tml
Ça peut intéresser d'autre personnes...
Merci.
André

Le 22/02/2017 à 13:39, a écrit :
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redé marrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il es t
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pos e d'autres :
Thierry Bugier Pineau
Le #26426983
Bonjour
Mon Nginx est configuré pur utiliser des certificats dans un sous
dossier de /etc/nginx/. Ces certificats sont simplement des liens
symboliques vers les certificats courants de Let's Encrypt. Ca fait
environ 1 an que ça tourne, et je n'ai jamais eu à redémarrer Nginx.
pour utiliser un certificat réactualisé.
Les certificats sont valables 3 mois, et renouvelables par cron
J'ai utilisé StartSSL pendant un temps, mais je trouve que Let's Encrypt
est plus pratique : une fois configuré, plus besoin d'y toucher. Je
pense que ce choix est plutôt subjectif, et vu l'information partagée
par Safranil, la question a une réponse définitive: StartSSL doit entrer
en liste noire.
Niveau "blindage", j'ai utilisé des outils de test SSL pour optimiser ma
configuration. Le certificat n'est qu'un petit morceau de la sécurité.
Une bonne partie se fait au niveau de la configuration du serveur HTTP.
Par exemple, interdire SSLv3 et TLS < v1.2 ne relève pas du certificat
en lui même.
On 22/02/2017 13:39, wrote:
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pose d'autres :
- combien de temps dure un certificat Let's Encrypt ?
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ça peut intéresser d'autre personnes...
Merci.
André
andre_debian
Le #26426984
On Wednesday 22 February 2017 14:50:58 Safranil wrote:
leur certificat est-il assez blindé ?

Qu'entendez vous par "blindé" ?

Il y a des certifcats gratuits et d'autres à 10.000€/an,
ça doit pas être les mêmes :-)
est-il plus ou moins judicieux que celui de StartSSL ?

Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, j’étais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-st artcom-certificates/
https://support.apple.com/en-us/HT202858
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.ht ml

Info intéressante, merci,
va falloir songer à quitter StartSSL alors,
et si Lets Encrypt permet de facilement de renouveler
son certificat, pourquoi pas.
André
Jean-Marc
Le #26426994
--Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Wed, 22 Feb 2017 13:17:57 +0100
Sébastien Dinot
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop ngi nx" --post-hook "systemctl start nginx"

Donc, tu redémarres nginx tous les soirs ?
Jean-Marc --Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd
Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE-----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 =XLiZ
-----END PGP SIGNATURE-----
--Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd--
Sébastien Dinot
Le #26426997
Jean-Marc a écrit :
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

Donc, tu redémarres nginx tous les soirs ?

Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :
--pre-hook PRE_HOOK
Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)
Et les logs montrent qu'effectivement, le serveur web n'est redémarré
que lorsque le certificat doit effectivement être renouvelé.
Sébastien
--
Sébastien Dinot,
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Gilles Mocellin
Le #26427002
On mercredi 22 février 2017 15:35:57 CET w rote:
On Wednesday 22 February 2017 14:50:58 Safranil wrote:
>leur certificat est-il assez blindé ?
Qu'entendez vous par "blindé" ?

Il y a des certifcats gratuits et d'autres à 10.000€/an,
ça doit pas être les mêmes :-)

Pas assez cher mon fils :-)
Les certificats, c'est du x509, indépendamment du prix. Utiliser un al gorithme
de chiffrement ou un autre, une plus ou moins long clef, ça ne coà »te pas
vraiment plus cher.
La différence, c'est la garantie que celui qui a acheté le certif icat est bien
celui qu'il prétend être.
Le modèle économique est proche de celui des assurances. Le prix n'a rien à
voir avec le produit, c'est une histoire de confiance, en la garantie qu'of fre
l'organisme certificateur qui signe le certificat. Celui-ci met aussi plus ou
moins de moyens pour faire ses vérifications.
Jean-Marc
Le #26427006
--Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Wed, 22 Feb 2017 18:45:20 +0100
Sébastien Dinot
Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :
--pre-hook PRE_HOOK
Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)
Et les logs montrent qu'effectivement, le serveur web n'est redémarr é
que lorsque le certificat doit effectivement être renouvelé.

Merci pour la piste, Sébastien.
Je préfère l'option --renew-hook qui démarre une commande en cas de renouvelement réussi d'un certificat.
Et donc, dans mon cas :
--renew-hook /bin/systemctl reload nginx.service
fait très bien l'affaire.
Merci et bonne soirée à tous.
Sébastien

Jean-Marc --Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M
Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE-----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 =ZSef
-----END PGP SIGNATURE-----
--Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M--
Publicité
Poster une réponse
Anonyme