Bonjour Nal,
Hier soir, j'ai reçu un courriel de la part de Let's Encrypt indiquant la fin de l'envoi des courriels prévenant de l'expiration prochaine des certificats (certificate expiration notification emails). Ce matin, je suis surpris de n'en trouver aucune mention dans mes feeds. Serais-je le dernier à n'avoir pas totalement automatisé le renouvellement de mes certificats et à encore compter dessus ? Ou le premier à relever mes mails ?
Oui je l'avoue, je compte encore dessus pour lancer manuellement mes scripts ansible au bon moment… Vu le peu d'efforts que cela me demande, j'ai toujours eu la flemme de passer cette dernière étape. Surtout que ça demanderait en plus de peaufiner mes scripts de monitoring, car il y a toujours le risque qu'un script casse et que mes certificats deviennent silencieusement obsolètes.
Bref cher Nal, est-ce que ça va t'impacter ? Qu'est-ce que tu vas faire ?
# aucun impact
Posté par mornik . Évalué à 2 (+4/-3).
Entre les outils qui se chargent du renouvellement auto, ou les applications comme caddy qui intègrent directement la gestion des certificats, il doit pas rester grand monde qui n'est pas en auto et pour ceux là, vu que ce sont des gens sérieux, il y a la supervision du certificat.
En plus les mails ça pollue, donc c'est globalement une bonne nouvelle sans impact, sauf pour eux (ils peuvent supprimer la gestion des envois de mails de masse) et la planète :)
[^] # Re: aucun impact
Posté par GG (site web personnel) . Évalué à 6 (+7/-3).
Tu as des sources sérieuses pour ton affirmation?
Alors bien sûr si ces emails sont gérés par des prestataires qui vont analyser le contenu à des fins statistiques et publicitaire, l'impact écologique n'est pas du tout négligeable.
Autrement, les échanges d'emails sont plutôt une forme d'échange d'information la plus "compatible" et la moins énergivore tout en restant sécurisable (mais là encore, ça dépend des serveurs. Si l'un des serveurs, expéditeur ou destinataire est Laposte.fr, il n'y a pas de sécurité possible [j'en vois pas de mon côté])
Oui, gérer des serveurs d'emails c'est difficile, ça demande de l'expertise et d'être rigoureux, mais une fois que ça tourne, c'est très reposant et pratique, surtout de ne pas dépendre de tiers. Yunohost et/ou AlternC, Virtualmin sont des bons outils pour ça.
D'ailleurs, la dernière version 3.5.0 de Alternc va bientôt sortir :
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: aucun impact
Posté par jihele . Évalué à 4 (+4/-2).
Le courriel le moins polluant reste celui qu'on envoie pas.
Je suis en auto-hébergement aussi et je suis pas sûr que ce soit le plus efficace énergétiquement. Mais en effet, il y a pas 50 process qui scannent mes messages et font de l'IA dessus.
[^] # Re: aucun impact
Posté par cosmocat . Évalué à 8 (+6/-0).
Un e-mail, ça pollue est un remarque uniquement valable pour quelqu'un qui ne fait jamais de streaming audio/vidéo, d'utilisation d'IA, de recherches webs,… car le bilan carbone de l'e-mail est vraiment négligeable par rapport à ces utilisations et beaucoup d'autres.
Sans compter qu'une alerte par e-mail (comme celui-ci qui en plus est sûrement full text) peut mener à une action qui au final va réduire le bilan carbone (car les actions correctives si tu n'as pas cette information ont un bilan plus important : comme on dit, il vaut mieux prévenir que guérir.)
[^] # Re: aucun impact
Posté par mornik . Évalué à 1 (+2/-2).
Y a pas que les scan de sociétés tiers.
Ton mail, quand il part de ton client, il passe par combien de machines ? Il entraîne pas une requête DNS ?
Tu sauvegardes pas ?
Tu monitores pas tes services mails ?
Ta boite elle fait 500ko tout compris ? Pas LES miennes.
Pour envoyer des mails, j'ai un serveur virtuel qui consomme de la ressource, quand il fait rien, j'ai quand même le monitoring qui consomme, quand j'ai un problème j'ai l'alerting qui consomme, mes mails stockés nécessites des disques raid pour leur stockage et en plus j'ai des sauvegardes distantes qui consomment aussi, et je passe sur la consommation des appareils en couche basse pour que ça existe. ça à l'échelle, ça fait, oui, de la consommation.
Et si nous revenons au sujet : pour envoyer des millions de mails de renouvellement, tu envois les mails depuis un container installé sur la box de ton fai ou ils utilisent une infra mails redondée ?
Donc le mail, ça pollue comme toute activité informatique, retirer un truc qui sert à rien c'est diminuer d'autant la pollution associée.
C’était pas compliqué à comprendre. (et je suis gentil j'ai pas parlé du coût des admin sys qui gèrent les serveurs et qui sont coincés dans des bouchons dans les grandes villes :D )
Bisous :
https://www.sami.eco/blog/empreinte-carbone-email
https://www.hellocarbo.com/blog/calculer/empreinte-carbone-mail/
[^] # Re: aucun impact
Posté par GG (site web personnel) . Évalué à 5 (+3/-0).
Oui, ne rien envoyer c'est mieux, mais avoir des notifications c'est bien, surtout quand un mécanisme automatique foire.
Je suis bien d'accord sur le coût de gestion d'un serveur email, et, de l'infrastructure nécessaire si l'on veut envoyer des milliers d'emails rapidement sans dépendre d'un prestataire externe. (ou simplement gérer un serveur email familiale)
Une des raisons, c'est que les gros prestataires emails bloquent les petits avec des quotas, liés à la quantité d'email par IP pour un temps donné. Pour envoyer rapidement beaucoup d'emails, il faut beaucoup d'IP disponibles.
C'est en cours de discussion ici pour créer une alternative en mutualisant les ressources des Chatons (long fil) : https://forum.chatons.org/t/sm2tp-gt-mutualisation-smtp/6321/1
Au niveau des alternatives, XMPP est pas mal, mais là aussi il faut gérer un serveur.
De toute façon, à la fin il y aura peut être création d'un ticket quelque part, et, ce ticket va aussi nécessiter de l'énergie, peut être même plus de temps pour l'admin pour gérer le ticket par rapport à sa simple résolution.
J'aime bien les emails parce que c'est pratique et compatible partout, et, il y a même possibilité de créer un ticket automatiquement à partir d'un email.
Au final, la consommation d'énergie de l'email sera négligeable par rapport à tout le reste, rien que l'écran et l'ordinateur des admins, du monitoring des autres services, des sauvegardes, des tests etc.
Et s'il y a beaucoup de messages à faire circuler, d'autres outils existent comme MQTT (J'en ai pris un au hasard)
Bonne journée
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: aucun impact
Posté par barmic 🦦 . Évalué à 2 (+1/-1).
Ces mails sont un mécanisme automatique qui peut lui aussi foirer.
Si tu as besoin d'un mail, tu peut :
Tu pourra jouer à envoyer ça par smtp, xmpp, mqtt, kafka, amqp ou tout ce que tu veut.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: aucun impact
Posté par GG (site web personnel) . Évalué à 3 (+1/-0).
Oui, je ne critique pas du tout les choix de Let's Encrypt de ne plus envoyer de notifications. On est assez grand pour choisir sois-même quoi faire et comment etc.
C'est pour Let's Encrypt assurément une importante charge en moins, qui leur permettra de se concentrer sur des choses plus utiles ou plus importantes.
Je remercie Let's Encrypt d'avoir permis la généralisation des certificats de sécurité de manière simple et efficace, pour tout le monde.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: aucun impact
Posté par steph1978 . Évalué à 2 (+0/-0).
Si il y a quelque chose qui te fait en douter, pas besoin de sources, un raisonnement par l'absurde suffit : tu connais une activité qui ne pollue pas ne serait-ce que par l'énergie qu'elle consomme ? Non ; donc les emails polluent. Ça ne dit rien sur les proportions, absolues ou relatives à une autre activité. Mais comme là il s'agit de dire qu'on va s'en passer, c'est forcément bénéfique sur cet aspect là.
[^] # Re: aucun impact
Posté par Graveen . Évalué à 4 (+2/-0). Dernière modification le 31 janvier 2025 à 10:12.
Quelques un ! Parce que mon infra (pro) n'est pas facilement accessible de l'extérieur pour le challenge HTTP/01 (nom approximatif :D), j'utilise le challenge DNS. Et que ce challenge n'est pas simplement automatisable avec tous les registrars.
je suis pas le seul ! (ou alors j'ai loupé une méthode plus simple)
[^] # Re: aucun impact
Posté par GG (site web personnel) . Évalué à 3 (+1/-0).
Le challenge DNS est celui recommandé.
Le mieux, c'est que tes certificats soient générés sur une machine séparée, et, qu'ensuite tu pousses les nouveaux certificats sur les machines cibles, pour éviter que la clef privée soit sur la même machine qui doit délivrer les certificats. Mais ça nécessite une organisation encore différente.
Concernant les Registrars, ça n'est pas un soucis si tu gères toi-même tes serveurs DNS. Et, tu peux le faire pour une partie seulement. (les DNS, c'est de la délégation)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: aucun impact
Posté par steph1978 . Évalué à 2 (+0/-0). Dernière modification le 14 février 2025 à 10:00.
Quel besoin d'y mettre un certificat publique alors ?
# C'est automatisé ici
Posté par Julien.D . Évalué à 8 (+6/-0).
Et puis mon calendrier ne tombe pas en panne non plus. Donc pas vraiment impacté, c'est un rappel en moins tout au plus.
De leur côté, ça retire une belle charge de problème/travail/serveur, donc clairement pour !
Sans compter que c'est bien la première fois que quelqu'un veut supprimer mon adresse mail de sa base de données de son propre chef 😂
[^] # Re: C'est automatisé ici
Posté par wilk . Évalué à 4 (+2/-0).
Les utilisateurs non plus ne tombent pas en panne, ils vont se charger d'envoyer les mails de notification 😂
# wildcard via modif dns
Posté par xavier Granveaux . Évalué à 2 (+1/-0).
J'utilise aussi la notif mail pour me rappeler de renouveler un wildcard que j'utilise pour un ingress kube en auto …
Le peu de temps que ca me prend pour faire le renew et la validation via le TXT DNS lorsque je reçoi la notif fait que je n'ai jamais cherchait à l'automatiser …
Ni à le monitorer d'ailleurs …
Donc je suis au moins un de plus concerné :)
[^] # Re: wildcard via modif dns
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
En soit ce n’est pas bien grave, il suffit de se mettre un rappel d’agenda… ou de programmer un envoie de mail… ou d’utiliser une surveillance (monitoring) externe… ou autre :)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Surveillance
Posté par Glandos . Évalué à 6 (+4/-0).
Je suis en automatique, mais je surveille quand même : https://github.com/Matty9191/ssl-cert-check
D'ailleurs, je surveille pas que moi. ssl-cert-check envoie des courriels :)
# Bref cher Nal, est-ce que ça va t'impacter ? Qu'est-ce que tu vas faire ?
Posté par dguihal . Évalué à 4 (+2/-0).
Non et Rien :)
en toute honnêteté il y a suffisament de moyens simples pour que ça soit géré tout seul que je trouve leur décision compréhensible au vu du coût d'infra chez eux. L-E ça reste gratuit donc il faut serrer les coûts. C'est pas juste envoyer un mail, c'est mettre en place un système qui surveille les dates d'expiration chez eux pour éventuellement envoyer un mail.
Je ne saurais trop conseiller d'utiliser:
(PS https://github.com/geerlingguy/ansible-role-certbot)
CF https://letsencrypt.org/docs/client-options/
[^] # Re: Bref cher Nal, est-ce que ça va t'impacter ? Qu'est-ce que tu vas faire ?
Posté par Graveen . Évalué à 3 (+1/-0).
Totalement d'accord ! Perso je trouvais ca pratique, mais ton message est plein de bon sens.
# Quelques liens
Posté par KsmoinO . Évalué à 4 (+4/-0).
Bonjour
Cette nouvelle est assez fraîche en effet sur leur blog : https://letsencrypt.org/2025/01/22/ending-expiration-emails/
Elle va de pair avec la diminution globale de la durée de vie des certificats annoncée pour les prochaines années (https://www.sectigo.com/resource-library/apple-now-joins-google-in-push-to-shorten-digital-certificate-lifespans) et la mise en place des certificats valables 6 jours (https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/)
Sur un passage à 6 jours tu aurais tout intérêt à automatiser ;)
S'ils continuent à envoyer des mails ils vont devoir en générer 15 fois plus et augmenter leur infra en conséquence. S'ils n'en envoient plus ils vont pouvoir grandement diminuer leur infra d'envois (et la pollution associée :p)
Bonne journée.
[^] # Re: Quelques liens
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 6 (+4/-0). Dernière modification le 31 janvier 2025 à 23:32.
Je trouve ça un peu idiot, ces 6 jours, ça ne s'accorde pas très bien avec /etc/cron.weekly :)
# les deux
Posté par steph1978 . Évalué à 5 (+3/-0).
J'aurai dit le dernier. Au début, je le faisais mais maintenant c'est surtout du spam.
Clairement, tout l'intérêt de ACME, c'est d'automatiser ; d'ailleurs c'est dans le nom.
Et tout comme d'autres commentateurs, j'ai des jobs qui surveillent mes services et m'alertent si qqch ne va pas.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.