• # Résumé

    Posté par  . Évalué à 7 (+5/-0).

    NGINX va supporter directement ACME (donc, les certificats Let's Encrypt) via un nouveau module ngx_http_acme (implémenté en Rust). Utiliser Certbot ne sera plus nécessaire.

    Traefik, Caddy et Apache avaient déjà cette fonctionnalité.

    • [^] # Re: Résumé

      Posté par  . Évalué à 4 (+2/-0).

      Traefik, Caddy et Apache avaient déjà cette fonctionnalité.

      Pour moi c'est un must have.

      J'utilise Traefik car il fait de la découverte automatique (discovery) Docker. Il suffit d'annoter un container avec les bons libellés pour que Traefik mette en place les règles de routage et la prise en charge du certificat chez une autorité de certification supportant ACME (comme Let's Encrypt).

      Cependant je le soupçonne de prendre beaucoup plus de CPU que nécessaire. Donc si les autres se mettent à niveau, je pourrais m'y pencher.

    • [^] # Re: Résumé

      Posté par  (site web personnel, Mastodon) . Évalué à 6 (+4/-0).

      Uniquement le challenge HTTP-01. Ça va sûrement de soit, mais je tiens à le préciser pour ceux qui utilisent le challenge DNS-01 par exemple.

      Reste à savoir si F5 fournira des containers nginx avec se module pré-compilé. Actuellement quand on veut un module nginx, faut le compiler… en regard des sources de la version exacte de nginx. Un peu comme les modules du noyau Linux. Ça se traduit donc en général par une compilation de nginx et des modules nécessaires. Sans un ajout comme module directement disponible ça ne change pas trop la donne étant donné qu’il existait également d’autres modules nginx qui faisaient le job, juste pas éditée par F5.

      Je croise donc les doigts pour que ce module soit dispo de base… (surtout qu’il n’est pas dans le même langage que le projet, donc il faut deux compilos)

      • [^] # Re: Résumé

        Posté par  (site web personnel, Mastodon) . Évalué à 6 (+4/-0).

        … mais DNS-01 à l’air dans les cartons : https://github.com/nginx/nginx-acme/issues/11

        Probablement à travers une socket sur laquelle vient se greffer le plugin du provider DNS qui va bien. Bonne archi à mon avis.

      • [^] # Re: Résumé

        Posté par  . Évalué à 4 (+2/-0).

        Oui, enfin, nginx est dispo dans beaucoup de distro. Compiler un module nginx, c'est vraiment facile ET rapide.
        Bien plus que d'installer un conteneur docker qui doit avoir accès à un volume sur le disque en dehors de son conteneur je trouve. En tout cas, c'est moins alambiqué.

        Après, je n'ai pas encore lu le module en Rust, peut-être qu'il ne faudra pas le recompiler à chaque version ?

  • # Les clients à part seront toujours nécessaires

    Posté par  . Évalué à 5 (+3/-0).

    Je ne sais pas si je ferai le changement. Déjà parce que j'utilise un certificat wildcard, ensuite parce que mon serveur héberge également un serveur IMAP (dovecot) SMTP (postfix), XMPP (prosody), qui ont également besoin de certificats, et donc j'aurais de toutes façons besoin d'un truc pour eux.

    Mais mon cas d'utilisation n'est pas la seule vérité dans ce monde, évidemment que c'est très utile d'avoir le serveur Web qui gère tout seul le certificat :)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.