1

Salut,

Suite au lien posté par Arvi89, j'ai installé Virtualmin (top), j'ai tout configuré, forcé le https sur un domaine (que je peux filer en MM), impec. Pour le certificat SSL, j'ai utilisé la solution [url]Let's Encrypt[/url], pour générer ce qu'il faut pour mon Apache.

Mais quand je vais sur le site, nickel, sauf cette étape intermédiaire qui me dit que le certificat n'est pas au poil, car autosigné, alors qu'il me semblait que LE générait du propre, ou alors l'erreur est ailleurs.

Ma question est simple (et j'ai limite honte de la poser), voici les options que Virtualmin pour pointer vers mes fichiers :

Enable SSL? => Yes
Default SSL protocols => SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
  • Certificate/private key file => pointe vers cert.pem
  • Private key file => pointe vers privkey.pem
  • Certificate authorities file => ne pointe vers rien, juste la valeur "Default" qui ne correspond à je-ne-sais-quoi
  • Client SSL certificate => ne pointe vers rien, juste la valeur "Default" qui ne correspond à je-ne-sais-quoi aussi.

Let's Encrypt a généré 4 fichiers pourtant :
  • cert.pem
  • chain.pem
  • fullchain.pem
  • privkey.pem

Je ne sais pas ce qui doit être associé ou pas.

Quelqu'un connaît ces systèmes ? Je galère.

Merci
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

2

J'ai ça, moi:
   SSLCertificateFile /var/lib/acme/live/www.tigen.org/cert
   SSLCertificateKeyFile /var/lib/acme/live/www.tigen.org/privkey
   SSLCertificateChainFile /var/lib/acme/live/www.tigen.org/chain
mais ces chemins viennent d'acmetool, donc le client officiel les crée peut-être ailleurs. En tout cas, il te faut le chemin complet vers tes fichiers, et il faut probablement les 3.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

3

OK, donc il m'en manque 1.

Donc
  • SSLCertificateFile correspondrait à "Certificate/private key file"
  • SSLCertificateKeyFile à "Private key file" ?


C'est ce fameux lien entre les appellations et les concepts qui me pose soucis.

J'ai les chemins complets pour le coup, de type /etc/letsencrypt/live/mondomaine.tld/<fichier>
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

4

SSLCertificateChainFile est probablement ton "Certificate authorities file".
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

5

Merci, je vais tester ça.
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

6

Impec, merci !!

Tu m'as aidé à moitié, et l'autre moitié, c'est moi qui avais merdé.

Virtualmin a omis la ligne de type :
SSLCertificateChainFile /var/lib/acme/live/www.tigen.org/chain
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

7

SSLv2 et SSLv3 sont vraiment en trop
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

8

Ah oui ?
Bon, en tout cas, c'est géré, j'en fais pas d'avantage. J'attends la semaine prochaine pour rapatrier les 9/10 domaines supplémentaires grin
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

9

c'est franchement vieux et pas franchement sécurisé
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

10

du coup c'est parfaitement NSA compliant trioui

11

Donc vous me conseillez de dégager SSLv2 et SSLv3 ?
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

12

Oui. Ces protocoles obsolètes sont un risque de sécurité, il y a des attaques très connues qui exploitent des erreurs de conception fondamentales de ces protocoles.

TLS 1.0 est aussi déprécié, mais à ma connaissance, il n'est pas encore conseillé de le désactiver car encore trop répandu. TLS 1.1 et 1.2 sont considérés à jour et surs.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

13

Donc SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2 selon vous ?
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

14

Je resterais avec les 3 versions de TLS (1.0, 1.1 et 1.2) jusqu'à ordre contraire. Mais SSL 2 et SSL 3, adieu!
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

15

Copy ! wink
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

16

P****n, c'est nickel ! Nom de domaine avec sous-domaines en Wildcard et créations de blogs Wordpress à la volée... done !
Manque plus que ça génère aussi le certificat POUR le sous-domaine à la volée, et je suis un webmaster comblé.

Pour info, les certificats "Let's Encrypt" ne gèrent pas ça, du moins pas pour le moment.
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

17

D'ailleurs, voici les références officielles pour l'obsolescence de SSL 2 et 3:
https://tools.ietf.org/html/rfc6176
https://tools.ietf.org/html/rfc7568

Pour la génération automatique des certificats pour tes sous-domaines, normalement ça se scripte, mais si tu fais tout par Virtualmin, tu devras attendre que Virtualmin s'y mette. (Cela dit, attention, Let's Encrypt est actuellement limité à 5 certificats par semaine pour un même domaine principal. Donc si tu veux créer un nombre énorme de sous-domaines, tu vas devoir mettre plusieurs dans le même certificat, ou trouver une autre solution.)
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

18

J'attends plutôt qu'ils fassent la wildcard, après, ce ne sera pas obligatoire dans mon processus, dans que le domaine parent l'est.

top en tout cas
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo

19

Quant à TLS 1.0, la principale raison pour laquelle ce n'est pas encore déprécié, c'est que des versions encore pas mal utilisées de IE ne gèrent pas TLS 1.1 et 1.2 par défaut: D'après Wikipédia, TLS 1.1 et 1.2 sont désactivés par défaut dans IE 9 et 10 (parce qu'activer TLS 1.1 et 1.2 désactive la négotiation de SSL 2 et qu'ils n'ont pas voulu casser la compatibilité avec les vieux sites), et ne sont pas du tout gérés dans IE ≤ 8 et dans la version Vista de IE 9.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

20

(C'est quand-même pas terrible les certificats avec un wildcard dedans - bon, après, pour un particulier, ça reste raisonnable, mais pour une entreprise, c'est à proscrire absolument)
avatar

21

En l’occurrence, je migre un paquet de NDD, mais l'un d'eux sera plus communautaire, tout sauf professionnel, c'est aussi principalement pour le challenge.

En tout cas, tout est rapatrié et SSLisé comme il faut.

Merci mille fois pour les conseils/opinions.
avatarSlammeur (qu'on voit danser, le long des golfes clairs).
Mon blog qui parle de jeux-vidéo