Debian, nginx et Let's Encrypt

Jean-Marc a écrit :

Une idée de comment automatiser cela ?

Via cron :

# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

On peut encapsuler les opérations dans des scripts s'il y a par exemple
plusieurs services à redémarrer :

43 23 * * * /usr/bin/certbot --quiet renew --pre-hook /root/bin/certbot-pre-hook.sh --post-hook /root/bin/certbot-post-hook.sh

On peut aussi adapter (ou commenter si on le fait via un autre cron) le
script /etc/cron.d/certbot.

Sébastien

--
Sébastien Dinot, sebastien.dinot@free.fr
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

------AC1IBYKRWOBIABO6UCQASJS9HX9Z74
Content-Type: text/plain;
charset=utf-8
Content-Transfer-Encoding: quoted-printable

Bonjour

J'utilise Let's encrypt et nginx.

J'ai fait le choix de placer les certificats dans l'arborescence /etc/ngin x/ssl

Pour utiliser les certificats, j'ai examiné où Let's encrypt mai ntient le certificat courant, et fait un lien symbolique dessus pour nginx .

Ça fonctionne depuis près d'un an sans souci. Pas de redé marrage de nginx à faire.

J'ai suivi les instructions de cette page pour l'essentiel; mais il est pe ut être possible de faire plus simple, car Let's encrypt a probablemen t évolué depuis.

https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Le 22 février 2017 11:38:14 GMT+01:00, Jean-Marc <jean-marc@6jf.be> a écrit :

salut la liste,

Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site .

Tout fonctionne correctement côté Let's Encrypt et du certbot .

Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4

Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.

Mais si j'ouvre mon site, dans le détail du certificat, c'est toujou rs
l'ancien.
Sur mon serveur, il est bien renouvelé.

Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.

Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr ès certbot
?
On se base sur le service certbot et une modif' du fichier cert.pem ?


Jean-Marc <jean-marc@6jf.be>

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez exc user ma brièveté.
------AC1IBYKRWOBIABO6UCQASJS9HX9Z74
Content-Type: text/html;
charset=utf-8
Content-Transfer-Encoding: quoted-printable

<html><head></head><body>Bonjour<br>
<br>
J&#39;utilise Let&#39;s encrypt et nginx.<br>
<br>
J&#39;ai fait le choix de placer les certificats dans l&#39;arborescence / etc/nginx/ssl<br>
<br>
Pour utiliser les certificats, j&#39;ai examiné où Let&#39;s enc rypt maintient le certificat courant, et fait un lien symbolique dessus pou r nginx.<br>
<br>
Ça fonctionne depuis près d&#39;un an sans souci. Pas de red émarrage de nginx à faire.<br>
<br>
J&#39;ai suivi les instructions de cette page pour l&#39;essentiel; mais i l est peut être possible de faire plus simple, car Let&#39;s encrypt a probablement évolué depuis.<br>
<br>
<a href="https://www.nginx.com/blog/free-certificates-lets-encrypt-a nd-nginx/">https://www.nginx.com/blog/free-certificates-lets-encrypt-an d-nginx/</a><br><br><div class="gmail_quote">Le 22 février 2017 11:3 8:14 GMT+01:00, Jean-Marc &lt;jean-marc@6jf.be&gt; a écrit :<blockqu ote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left : 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">salut la liste,<br /><br />Je me suis mis &agrave; l 'HTTPS pour chiffrer le traffic de mon petit site.<br /><br />Tout foncti onne correctement c&ocirc;t&eacute; Let's Encrypt et du certbot.<br /><br />Config' :<br />Debian Jessie 8.7<br />certbot 0 .9.3-1~bpo8+2<br />nginx-full 1.6.2-5+deb8u4<br /><br />Hier, certbot a renouvel&eacute; mes certificats.<br />OK, tout s'est bien pass&eacute;.<br /><br />Mais si j'ouvre mon site, dans le d&e acute;tail du certificat, c'est toujours l'ancien.<br />Sur mon serveur, il est bien renouvel&eacute;.<br /><br />Je suppose que nginx a mis le ce rtificat en cache.<br />Et qu'il faut donc red&eacute;marrer nginx.<br /><br />Une id&eacute;e de comment automatiser cela ?<br />Red&eacute;marre r nginx quand le certificat est renouvel&eacute; ?<br />Ajouter une d&eacut e;pendence dans systemd pour red&eacute;marrer nginx apr&egrave;s certbot ? <br />On se base sur le service certbot et une modif' du fichier cert.pem ?<br /><br /><br />Jean-Marc &lt;jean-marc@6jf.be&gt;<br /></pre></block quote></div><br>
-- <br>
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez exc user ma brièveté.</body></html>
------AC1IBYKRWOBIABO6UCQASJS9HX9Z74--

On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:

J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pose d'autres :

- combien de temps dure un certificat Let's Encrypt ?

- leur certificat est-il assez blindé ?

- est-il plus ou moins judicieux que celui de StartSSL ?

Ça peut intéresser d'autre personnes...

Merci.

André

Bonjour à tous,

- combien de temps dure un certificat Let's Encrypt ?

Un certificat est valide pendant 3 mois.

- leur certificat est-il assez blindé ?

Qu'entendez vous par "blindé" ?

- est-il plus ou moins judicieux que celui de StartSSL ?

Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, j’étais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
-
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-s tartcom-certificates/
- https://support.apple.com/en-us/HT202858
-
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.h tml

Ça peut intéresser d'autre personnes...

Merci.

André

Le 22/02/2017 à 13:39, andre_debian@numericable.fr a écrit :

On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:

J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redé marrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il es t
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pos e d'autres :

Bonjour

Mon Nginx est configuré pur utiliser des certificats dans un sous
dossier de /etc/nginx/. Ces certificats sont simplement des liens
symboliques vers les certificats courants de Let's Encrypt. Ca fait
environ 1 an que ça tourne, et je n'ai jamais eu à redémarrer Nginx.
pour utiliser un certificat réactualisé.

Les certificats sont valables 3 mois, et renouvelables par cron

J'ai utilisé StartSSL pendant un temps, mais je trouve que Let's Encrypt
est plus pratique : une fois configuré, plus besoin d'y toucher. Je
pense que ce choix est plutôt subjectif, et vu l'information partagée
par Safranil, la question a une réponse définitive: StartSSL doit entrer
en liste noire.

Niveau "blindage", j'ai utilisé des outils de test SSL pour optimiser ma
configuration. Le certificat n'est qu'un petit morceau de la sécurité.
Une bonne partie se fait au niveau de la configuration du serveur HTTP.
Par exemple, interdire SSLv3 et TLS < v1.2 ne relève pas du certificat
en lui même.


On 22/02/2017 13:39, andre_debian@numericable.fr wrote:

On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:

J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

Désolé, je ne réponds pas à la question mais en pose d'autres :

- combien de temps dure un certificat Let's Encrypt ?

- leur certificat est-il assez blindé ?

- est-il plus ou moins judicieux que celui de StartSSL ?

Ça peut intéresser d'autre personnes...

Merci.

André

On Wednesday 22 February 2017 14:50:58 Safranil wrote:

>leur certificat est-il assez blindé ?
Qu'entendez vous par "blindé" ?

Il y a des certifcats gratuits et d'autres à 10.000€/an,
ça doit pas être les mêmes :-)

> est-il plus ou moins judicieux que celui de StartSSL ?
Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, j’étais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-st artcom-certificates/
https://support.apple.com/en-us/HT202858
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.ht ml

Info intéressante, merci,
va falloir songer à quitter StartSSL alors,
et si Lets Encrypt permet de facilement de renouveler
son certificat, pourquoi pas.

André

--Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Wed, 22 Feb 2017 13:17:57 +0100
Sébastien Dinot <sebastien.dinot@free.fr> écrivait :

Via cron :

# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop ngi nx" --post-hook "systemctl start nginx"

Donc, tu redémarres nginx tous les soirs ?

Jean-Marc <jean-marc@6jf.be>

--Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
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 =XLiZ
-----END PGP SIGNATURE-----

--Signature=_Wed__22_Feb_2017_17_28_08_+0100_31wxr48UedBHVONd--

Jean-Marc a écrit :

> Via cron :
>
> # crontab -e
> 43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

Donc, tu redémarres nginx tous les soirs ?

Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :

--pre-hook PRE_HOOK

Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)

Et les logs montrent qu'effectivement, le serveur web n'est redémarré
que lorsque le certificat doit effectivement être renouvelé.

Sébastien


--
Sébastien Dinot, sebastien.dinot@free.fr
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

On mercredi 22 février 2017 15:35:57 CET andre_debian@numericable.fr w rote:

On Wednesday 22 February 2017 14:50:58 Safranil wrote:
> >leur certificat est-il assez blindé ?
>
> Qu'entendez vous par "blindé" ?

Il y a des certifcats gratuits et d'autres à 10.000€/an,
ça doit pas être les mêmes :-)

Pas assez cher mon fils :-)


Les certificats, c'est du x509, indépendamment du prix. Utiliser un al gorithme
de chiffrement ou un autre, une plus ou moins long clef, ça ne coà »te pas
vraiment plus cher.

La différence, c'est la garantie que celui qui a acheté le certif icat est bien
celui qu'il prétend être.

Le modèle économique est proche de celui des assurances. Le prix n'a rien à
voir avec le produit, c'est une histoire de confiance, en la garantie qu'of fre
l'organisme certificateur qui signe le certificat. Celui-ci met aussi plus ou
moins de moyens pour faire ses vérifications.

--Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Wed, 22 Feb 2017 18:45:20 +0100
Sébastien Dinot <sebastien.dinot@free.fr> écrivait :

Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :

--pre-hook PRE_HOOK

Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)

Et les logs montrent qu'effectivement, le serveur web n'est redémarr é
que lorsque le certificat doit effectivement être renouvelé.

Merci pour la piste, Sébastien.

Je préfère l'option --renew-hook qui démarre une commande en cas de renouvelement réussi d'un certificat.

Et donc, dans mon cas :
--renew-hook /bin/systemctl reload nginx.service

fait très bien l'affaire.

Merci et bonne soirée à tous.

Sébastien

Jean-Marc <jean-marc@6jf.be>

--Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
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 =ZSef
-----END PGP SIGNATURE-----

--Signature=_Wed__22_Feb_2017_21_11_45_+0100_M7KWxWnaTcRdDa0M--