Note Let's Encrypt
samedi 5 décembre 2015 à 14:51Je viens d’installer un certificat Let's Encrypt sur lehollandaisvolant.net.
Vous pouvez aller sur https://lehollandaisvolant.net/ et il ne devrait plus y avoir d’erreurs de "certificat autosigné".
HTTPS permet en fait deux chose :
** chiffrer les communications ;
** authentifier le site
Pour les blogs perso, l’important c’est le premier point : le chiffrement c’est importante. Si vous avez wordpress ou shaarli ou tout autre système qui demande une authentification, il faut utiliser le chiffrement sinon votre mot de passe et login voyage en clair sur le réseau.
La mise en place d’un certificat est relativement simple. Il suffit de suivre ce qui est là : https://zatsunenomokou.eu/blog/index.php?article8/creer-un-certificat-sur-un-hebergement-web-avec-seulement-ftp
Ici on passe en mode "ligne de commande" manuelle parce que le serveur qui héberge le site N’EST PAS l’ordinateur qui va générer le certificat (mon pc, dans le cas présent).
On commence par écrire la ligne de commande en donnant le nom du site (lehollandaisvolant.net). Ensuite, va dire qu’il faut uploader un fichier (au nom compliqué dans un dossier /.well-known/acme-challenge) : ça permet de prouver qu’on est bien le proprio du site (je peux mettre un fichier sur "lehollandaisvolant.net" mais pas sur "google.com", qui n’est pas à moi).
Une fois terminé, on se retrouve avec 4 fichiers (sur mon PC, donc) dans /etc/letsencrypt/live/lehollandaisvolant.net/*.
Il faut utiliser ces fichiers et les envoyer sur le serveur qui contient votre site.
Pour ma part, j’ai une page pour le faire grâce au panel admin que me propose mon hébergeur.
** le champ "Certificate" doit être rempli avec le fichier "fullchain.pem"
** le champ "Private Key" avec le fichier "privkey.pem"
Quand tout est en place et validé, votre site en HTTPS est accessible et ne lève plus d’erreurs.
Attention quand même : la validité est de 3 mois seulement (pour le moment, vu que c’est en phase bêta, je crois). Le renseignement de l’email lors de la création du certificat devrait être là pour vous avertir avant l’expiration.
NOTE : tant que Let's Encrypt restera en phase bêta, je ne mettrais pas le site HTTPS par défaut. Pour l’instant il est donc possible de rester en HTTP simple.
Vous pouvez aller sur https://lehollandaisvolant.net/ et il ne devrait plus y avoir d’erreurs de "certificat autosigné".
HTTPS permet en fait deux chose :
** chiffrer les communications ;
** authentifier le site
Pour les blogs perso, l’important c’est le premier point : le chiffrement c’est importante. Si vous avez wordpress ou shaarli ou tout autre système qui demande une authentification, il faut utiliser le chiffrement sinon votre mot de passe et login voyage en clair sur le réseau.
La mise en place d’un certificat est relativement simple. Il suffit de suivre ce qui est là : https://zatsunenomokou.eu/blog/index.php?article8/creer-un-certificat-sur-un-hebergement-web-avec-seulement-ftp
Ici on passe en mode "ligne de commande" manuelle parce que le serveur qui héberge le site N’EST PAS l’ordinateur qui va générer le certificat (mon pc, dans le cas présent).
On commence par écrire la ligne de commande en donnant le nom du site (lehollandaisvolant.net). Ensuite, va dire qu’il faut uploader un fichier (au nom compliqué dans un dossier /.well-known/acme-challenge) : ça permet de prouver qu’on est bien le proprio du site (je peux mettre un fichier sur "lehollandaisvolant.net" mais pas sur "google.com", qui n’est pas à moi).
Une fois terminé, on se retrouve avec 4 fichiers (sur mon PC, donc) dans /etc/letsencrypt/live/lehollandaisvolant.net/*.
Il faut utiliser ces fichiers et les envoyer sur le serveur qui contient votre site.
Pour ma part, j’ai une page pour le faire grâce au panel admin que me propose mon hébergeur.
** le champ "Certificate" doit être rempli avec le fichier "fullchain.pem"
** le champ "Private Key" avec le fichier "privkey.pem"
Quand tout est en place et validé, votre site en HTTPS est accessible et ne lève plus d’erreurs.
Attention quand même : la validité est de 3 mois seulement (pour le moment, vu que c’est en phase bêta, je crois). Le renseignement de l’email lors de la création du certificat devrait être là pour vous avertir avant l’expiration.
NOTE : tant que Let's Encrypt restera en phase bêta, je ne mettrais pas le site HTTPS par défaut. Pour l’instant il est donc possible de rester en HTTP simple.