Désolé, je n'avais pas vu que c'était bien le NAT ton problème.
Dans ce cas, il faut:
Pointer tous tes domaines et sous-domaines sur l'adresse IP publique
Configurer le NAT pour envoyer toutes les connexions entrantes sur les ports 80 et 443 vers ton serveur 1
Configurer le service web du serveur 1 pour écouter chaque domaine et sous-domaines sur les ports 80 et 443
Utiliser le serveur 1 pour demander des certificats à Let's Encrypt pour chacun des domaines et sous domaines
Quand les certificats sont reçu, tu peux soit:
demander au serveur 1 de pousser les bons certificats sur chacun de tes autres serveurs (l'avantage est que le serveur 1 sait quand il crée les certificats, par contre le désavantage est qu'il doit avoir un accès sur chacun des serveurs)
dire à chacun de tes autres serveurs d'aller chercher les nouveaux certificats sur le serveur1 (le désavantage est que les autres serveurs doivent récupérer assez souvent les certificats pour être sûr d'avoir le dernier, l'avantage est que chaque serveur aura ses propres droits sur le serveur 1 et le serveur 1 ne peut pas toucher aux autres serveurs)
En bonus, si tu maitrises suffisamment ton service web sur le serveur 1, tu peux l'utiliser comme reverse proxy : si une requête est faite sur les URLs utilisées par Let's Encrypt, il répond lui-même à la requête, dans les autres cas, il renvoie les requêtes vers les bons servuers. Comme ça, tu peux utiliser tout tes domaines avec les ports standards web.
Si tu maitrises ton serveur DNS et que tu peux le configurer pour autoriser des modifications automatiques des zones (avec des clés TSIG par exemple), tu peux tout faire sur ce serveur en utilisation la vérification par entrées DNS fournie par Let's Encrypt.
Est-ce que tu as ces problèmes à cause d'un NAT qui gère les 3 serveurs ? Dans ce cas, une solution serait aussi d'utiliser un réseau IPv6 que Let's Encrypt sait utiliser.
Si Let's Encrypt t'ennuie autant, personne ne te force à utiliser leurs services et ça ne sert strictement à rien de leur cracher dessus: le problème des NAT existe depuis bien avant et il complexifie beaucoup d'autres services également (XMPP, P2P,…) sans que ce soit de leur faute.
QtMoko était un projet complet d'OS pour smartphone utilisant Qt Embedded pour faire tout l'affichage sur le framebuffer de l'OpenMoko (et autres périphériques). Ily a peut être encore de la dic qui pourrait etre intéressante : http://qtmoko.sf.net
PS: j'ai mis officiel entre guillemet car il peut y avoir des tas d'images possibles de Debian: du desktop avec GNOME, KDE, … aux images de serveurs, selon plusieurs architectures processeurs… C'est pas pour rien qu'ils se disent universel :)
Désolé, je voulais écrire NFS effectivement. Quel est l'intérêt d'itiliser l'image «officielle» de Debian sur Docker Hub ?
Debootstrap est aussi un outil officiel de Debian et il construit directement tout le nécessaire pour en faire une image docker par simple import. Vous aurez en plus l'avantage de ne charger Debian qu'une fois depuis Internet et vous pouvez préparez directement les fichiers systèmes spécifiques à vos besoins.
Comme ça, vous pouver directement créer la ligne NTFS dans fstab sans avoir d'erreur. Si jamais, il faut utiliser des entrées bind dans fstab (ou mount avec le type bind) au lieu de faire des liens symboliques entre deux montages différents.
Non, je n'ai rien oublié, je t'ai décrit ce que le protocole ACME te demande de faire pour avoir une certification sans utiliser HTTP.
HPKP et DANE n'entrent pas dans ce processus et c'est normal: pour créer un certificat tu dois juste avoir une paire de clés, un nom de domaine et une autorité reconnue.
C'est toi qui choisit de lier ces 3 concepts, c'est ton problème.
Pour dnnsec, c'est la même remarque: tu as choisit de rendre manuel le changement de ressources DNS, donc c'est ton problème.
ACME fait une chose et le fait très bien: il permet de vérifier que tu possèdes un nom de domaine et te retourne un certificat si c'est le cas.
Certes, le client le plus connu fait déjà un peu plus en gérant lui-même les clés privées, mais ça n'a rien à voire avec un problème sur le protocole ACME.
Et comme signalé plus haut, beaucoup d’auto-hébergés n’utilisent pas LE pour cause de trop grande complexité…
Je suis d'accord que ton infrastructure a une "trop grande complexité".
J'aimerai bien comprendre en quoi ce processus est compliqué:
A la main, sur une machine à l'abris, 1 fois (sauf si tes clés sont corrompues):
Créer 2 paires de clés privées / publiques
Créer 1 CSR pour 1 la première paire de clés
De manière automatisable (et régulièrement au moins tous les 89 jours):
S'inscrire sur un serveur ACME avec la seconde paire de clé crée (pas celle du CSR!)
Demander des challenges DNS pour son CSR au serveur ACME
Recevoir les challenges et ajouter 1 ressource TXT par domaine avec un identifiant qui peut être calculé par toi et par le serveur ACME
Optionnel: attendre que les mises à jour DNS soient effectives
Demander au serveur ACME de vérifier les challenges sur tes serveurs DNS
Récupérer ton certificat quand les challenges sont tous validés
Récupérer le certificat intermédiaire qui a généré ton certificat
De nouveau à la main sur les serveurs qui ont besoin et de temps en temps (pas de synchronisation nécessaire avec l'étape précédente):
Aller récupérer les nouveaux certificats
Installer les certificats là où les services les chercheront
Redémarrer les services utilisant TLS
Tout en sachant que:
les étapes principales peuvent être faites avec de grand décalages de temps.
le renouvellement des certificats, seul l'étape 2 et 3 doivent être faites.
si un épinglage est nécessaire, il suffit de créer une paire de clé publique/privée en plus et d'épingler les clés. Dans ce cas, le renouvellement des certificats ne pose aucun problème pour HKPK et DNSSEC et en plus tu utilisent ces 2 systèmes en plus de la hiérarchie des CAs.
si pour la partie 2 tu ne veux/peux pas utiliser de serveur DNS, d'autres types de challenges existent avec d'autres pré-requis (comme un challenge qui nécessite HTTP)
Le cas d’usage standard de LE est trop restrictif pour être utilisable en pratique (mono-serveur, mono-domaine).
Mono-serveur et mono-domaine correspond à toutes les personnes qui utilisent un raspberry pi pour s'auto-héberger, à beaucoup de personnes qui utilisent un petit hébergement mutualisé,…
Dès que tu dépasses de ce niveau (ce qui est en pratique le cas dès que tu touches un peu à l’auto-hébergement)
Non, voire ci-dessus. Pourquoi j'aurai 2 serveurs dans mon appartement s'ils sont distants de 2 mètres et qu'ils partagent la même adresse IPv4 publique ? Combien d'appartements différents as-tu ? Quelle est ta définition d'auto-hébergé ?
"ÉNORMÉMENT == 10 posts ", franchement ? Je comprends mieux pourquoi "mon cas personnelle == tous les auto-hébergés" :D Et oui, la gestion des certificats requiert beaucoup de connaissances, surtout si tu souhaites te mettre des bâtons dans les roues avec HPKP/DANE et une infrastructure réseau trop complexe.
Et ceux qui s’y mettent réellement tombent rapidement sur les os mentionnés un peu partout ici et au fur et à mesure qu’ils vont s’amuser avec leur infra et se semi-professionalisé (reverse proxy, virtualisation, puis HPKP, puis TLSA).
Mais ils seront bridés car pas les ressources humaines et temporelles pour développer toutes les verrues nécessaires un peu partout (httpd, dns…) à une automatisation à 60 jours.
Je m'y suis mis réellement et je n'ai pas eu tout ces problèmes. C'est HPKP/DANE qui te demandent d'être presque professionnalisé, pas ACME. D'ailleurs, devine pourquoi ces 2 concepts sont peu répandus et pourquoi ACME est très utilisé ?
Les grands gagnants dans l’affaire ont été les fournisseurs d’offres mutualisées et les vrais professionnels qui ont pu enfin délivrer du certificat en masse et qui ont les infras humaines, matérielles, temporelles et financières pour gérer l’automatisation (en se foutant au passage de HPKP et de TLSA) via le développement d’outillage ad-hoc pour leur infrastructure.
Non, les grands gagnants sont tous les gens qui peuvent enfin utiliser un formulaire de contact sur de petits sites web sans avoir peur de diffuser plein d'informations en claire sur Internet.
X.509 existait n'a rien à voir avec HPKP et DANE… Ce sont juste des systèmes de certificats, c'est bien toi qui décide de lrs épinglés à la place de tes clés.
ACME ne t'oblige pas d'utiliser HTTP/HTTPS pour t'authentifier, tu peux utiliser DNS et d'autres moyens sont proposés également.
Le protocole ACME n'oblige pas de tout automatiser: tu peux demander un nouveau certificat aujourd'hui, l'installer dans plusieurs jours. Le délais de 60 jours dont tu parles plus haut n'existe pas: il faudrait le faire avant le dernier jour de validité, mais rien ne t'interdit de le faire le 85eme jour.
Il faut que tu acceptes qu'ACME est capable de répondre aux besoins de beaucoup de mondes, mais pas à tes besoins très spécifiques (ton infrastructure ne correspond pas aux plus générales visées par LE).
Ce que tu peux faire bien plus tard. Le challenge te permet de récupérer un certificat, il ne t'impose pas de l'installer dans la seconde par le même processus. Il suffit de mettre à disposition le certificat à un autre service qui sera capable de mettre à jour ton DANE…
Ca n'a rien à voir: la procédure d'authentification est valide, c'est toi qui te met des batons dans les roues. Ce n'est pas la faute à LE si tu es incapable d'ajouter 1 ressource DNS dans ta zone facilement.
Désolé, le message ci-dessus était hors sujet avec le commentaire parent.
Ok, alors DNS-01 peut facilement fonctionner avec un Bind9 master qui gère DNSSEC.
Il est plus difficile de le mettre en place sur un serveur DNS master qui ne gère pas DNSSEC.
Ça me paraît évident, puisque l'architecture est de base plus compliquée.
Par contre, ça n'invalide pas la procédure de vérification DNS-01 pour autant, puisqu'elle est utilisable pour identifier si un propriétaire possède bien une zone DNS.
Je crois vraiment que ton problème est que ton architecture réseau est bien trop compliquée pour pouvoir facilement automatiser la génération de certificats. Ce n'est pas à Let's Encrypt de prendre en charge ton infrastructure dans ses services. Ils proposent un moyen simple et standard pour la plus part des gens auto-hébergés et même pour ceux hébergés sur des environnements mutualisés chez certains fournisseurs.
Si tu veux profiter de l'automatisation proposée par ACME, ce sera à toi d'adapter tes configurations ou ton infrastructure. Malheureusement, j'ai l'impression que l'on ne peut pas tout avoir simplement (surtout que DANE et HPKP ne peuvent pas être mis en place, ni mis à jours, sur un coup de tête).
Bind9 est capable de mettre à jour dynamiquement les fichiers de zones pour avoir une configuration DNSSEC dynamique justement (voir le guide ARM de bind9 pour les détails).
Quand tu utilises cette fonctionnalité, tes fichiers de zone sont constament mis à jour par bind9.
Si tu as bessoin d'un contrôle manuel, tu peux lui demander de geler les modifications (rndc freeze) le temps de faire tes modifications manuelles puis de le dégeler (rndc thaw) pour lui rendre la main.
Comme bind9 gère déjà tes fichiers de zone dynamiquement, il est assez aisé d'ajouter la mise à jour dynamique des ressources par authentification TSIG.
Comme ça la boucle est bouclée et tout peut fonctionner de manière automatique pour ce qui concerne DNSSEC.
Après, je ne me suis pas encore penché sur DANE/TLSA, car ce sont des concepts complexes et dangereux à mettre en place. Personnellement, je préfère avoir des certificats Let's Encrypt complètement automatiquement mise à jour pour l'instant.
De devoir filer les clefs de mon shadow master DNSSec à un truc qui va gérer les certificats. Donc de casser la sécurité apportée par DANE/TLSA qui impose d’avoir 2 chaînes bien distinctes (DANE/TLSA d’un côté, le certificat de l’autre).
Mélanger les 2 fait qu’un attaquant qui prendrait possession de la clef privée ou du certificat aurait tout le loisir de changer au passage l’empreinte TLSA… Et donc rendrait inutile DANE/TLSA…
Donc le problème ne vient pas de DNSSec, ça me rassure :)
Mélanger les 2 fait qu’un attaquant qui prendrait possession de la clef privée ou du certificat aurait tout le loisir de changer au passage l’empreinte TLSA… Et donc rendrait inutile DANE/TLSA…
Et non, car si tu configures ton serveur DNS correctement, le script acme-dns-tiny ne pourra mettre à jour que les entrées TXT des sous-domaines préfixés par _acme-challenge.. Tout ceci grâce à une bonne configuration de la mise à jour DNS par des clés TSIG qui ne pourront toucher qu'un nombre restreint d'enregistrements.
En plus, les clients ACME n'ont absolument pas besoin d'avoir la clé privée à disposition: seul le CSR est nécessaire et la clé ACME de ton compte enregistré chez LE (ou un autre CA d'ailleurs…).
Donc pour tes problèmes, ce challenge est valide: le client ne connaît pas la clé privée TLS et il ne peut pas modifier les entrées DANE/TLSA, seulement les TXT sur certains sous-domaines.
Les CGUs ne doivent pas être codées en dur dans les clients ACME: le dictionnary permet de connaître les CGUs en cours, il y a un Link aussi dans les réponses HTTP qui peut être renseigné par le serveur. Si l'utilisateur renseigne son e-mail lors de la création de son compte ACME, il pourrait aussi être averti en avance.
Le passage de X1 vers X3 s'est passé durant la phase bêta si je ne me trompe pas.
Le challenge DNS permet de ne pas toucher à son serveur HTTP/HTTPS et permet une grande flexibilité dans son infrastructure. Par contre, il faut maîtriser un minimum son serveur DNS.
IPv6… Comment dire… Je suis très enthousiaste face à cette technologie, mais elle n'est pas évidente à utiliser pour des services d'authentification à mon avis. En plus, si ça a été activé récemment comme je l'ai lu dans les autres commentaires, ça veut dire qu'ils ont pu mettre en place cette infrastructure en moins d'une année après la sortie officielle de leur service (la version non beta donc). Moi je leur dit plutôt chapeau !
Ah et si leurs services ne te plaisent pas les spécifications sont ouvertes et leurs logiciels serveurs aussi il me semble…
C'est une bonne remarque.
Sur mon mobile les titres sont souvent sur 2 lignes sur les 3/4 de la partie gauche de l'écran. Sur le dernier quart à droite et sur la hauteur d'une ligne je vois la note du journal.
Je pense qu'en mobile on pourrait profiter d'utiliser le blanc qui se trouve aux 3/4 à droite sur la deuxième ligne pour afficher un signet (comme celui de la notation) avec un résumé du style "nombre de non lus / nombres de commentaires".
Je pense à un signet plus discret que celui de la notation et avec une taille de police plus petite pour que 999/999 passe sur 1 ligne.
J'essaierai ce soir de faire un mockup pour mieux m'expliquer :)
Paypal peut être utilisé sans carte de crédit. Pour ça, il faut ouvrir un compte sur leur site et faire un versement depuis ta banque sur le compte paypal avec les références reçues. Le désavantage est que tu perds plusieurs jours pour que le virement soie pris en compte.
Par contre, tu peux faire des payements sur Internet sans cartes de crédit et sans donner les clés de ses comptes bancaires à PayPal.
Je vois plusieurs services qui pourraient être intéressant et qui pourraient nécessiter pas mal de ressources:
serveur de tuiles pour OpenStreetMap
noeud de recherche/cache pour les moteurs de recherches P2P (p.ex. Yacy, archive.org)
intégration dans des infrastructures nécessitant beaucoup de ressources (j'imagine par exemple Wikipédia, Archive.org, …)
services de build automatisés pour les projets d'envergures (Debian, Fedora, …)
service de stockage vidéo / multimédias (gobelin, gitlab, torrent, …)
Après, pour tout ceci, avoir les machines c'est bien, mais la gestion des mises à jour et de chacun des services sera certainement très chronophage.
Je pense qu'il serait intéressant de discuter avec ce genres de projets pour voir s'ils souhaitent investir leur temps dans le maintient de service sur ces machines.
Malheureusement, comme dit plus haut, ce sera juste un moyen d'absorber un peu plus ces déchets sans être une solution pour en diminuer la quantité.
Et sache qu’on attribue généralement à un mot des qualificatifs différents selon son genre grammatical, preuve que le genre des mots nous influence, qu’on le veuille ou non.
Alors j'aimerai bien connaître ces qualificatifs pour le français et l'allemand.
Je suis fracophone d'enfance, mais j'ai dû apprendre l'allemand, comme une bonne partie de la population suisse.
Comme j'ai de gros problèmes pour retenir les choses par cœur, ce genre de qualificatifs pourraient m'aider à me créer des règles pour savoir le genre des noms en allemand.
Pourrais-tu me donner ces qualificatifs pour le français ? Si tu y arrives, j'essaierai de trouver une correspondance avec l'allemand.
Par exemple, si en français, je dis "la soleil" à la place de "le soleil" quels sont ces qualificatifs cachés (quels changements dois-je comprendre) ? Ca pourrait m'aider à mettre en exergue les qualificatifs cachés germanophones qui déterminent que soleil est "die Sonne" et non pas "der Sonne".
Comme tu peux le voir dans les captures d'écran, l'exe contient un "VirtualBox Portable".
L'idée des applications portables est de pouvoir exécuter un logiciel sans avoir besoin de l'installer (juste copier le dossier du logiciel dans un répertoire).
Peut-être que Windows requiert des droits pour écrire dans le dossier Public de la capture d'écran (quoique, vu le nom, ça devrait jouer), mais c'est le seul moment où ce serait nécessaire.
Donc, à essayer avant de dire que ce post est menssongé…
Edit:
En plus, c'est bien indiqué dans l'aricle:
Nota: Si vous êtes dans une session avec des droits limités, le mot de passe administrateur vous sera demandé.
Du point de vue administrateur de forge, je préfère largement limiter au maximum les applications tierces qui viennent ajouter une couche par dessus la forge. Car à la moindre mise à jour de l'application ou de la forge, je risque de perdre l'interopérabilité des 2 outils (ce genre de conflits m'est arrivé fréquemment entre le trio Debian, Redmine et un plugin Redmine qui permettait de gérer git).
Alors que si c'est intégré directement dans le code source de l'application principale, la mise à jour de la forge engendrera moins de bugs. S'il y a un bug, il n'y a qu'une équipe à avertir et qui maitrisera tout le code.
Mon argument était pour opposer la liseuse aux smartphones et tablettes qui ont un écran rétro-éclairé.
Les avantages par rapport au papier, il en existe en effet des dizaines. Celui qui me convainc le plus est d’éviter de continuer la déforestation de la planète pour des livres qui finiront par prendre la poussière dans des bibliothèques.
En même temps, je ne vois pas trop comment systemd pourrait déterminer le moment opportun pour afficher le log ?
Imaginons, que ce soit dès que le processus est lancé: tu verras dans le log des lignes du genres "Starting service…." et tu ne verras pas qu'un peu plus tard le service n'arrive pas à atteindre certains fichiers. Là tu auras l'impression que systemd a menti car il a indiqué le status "OK", alors qu'en réalité le service a échoué.
En fait, le seul cas que je vois pour que systemd puisse t'afficher un retour est le cas où le processus ne peut pas être exécuté (lanceur introuvable par systemd par exemple) ou la configuration du service ne suit pas les attentes de systemd. Il me semble que dans ce cas, systemd renvoie bien des erreurs.
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 4. Dernière modification le 06 novembre 2016 à 20:35.
Désolé, je n'avais pas vu que c'était bien le NAT ton problème.
Dans ce cas, il faut:
En bonus, si tu maitrises suffisamment ton service web sur le serveur 1, tu peux l'utiliser comme reverse proxy : si une requête est faite sur les URLs utilisées par Let's Encrypt, il répond lui-même à la requête, dans les autres cas, il renvoie les requêtes vers les bons servuers. Comme ça, tu peux utiliser tout tes domaines avec les ports standards web.
Pour t'aider pour le reverse proxy, tu peux regarder ce lien : https://blog.bandinelli.net/index.php?post/2016/10/19/Pound-Let-s-Encrypt-%3A-un-service-pour-tout-r%C3%A9gler
[^] # Re: certbot / debian
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's encrypt et plusieurs serveurs sur la même IP. Évalué à 5.
Si tu maitrises ton serveur DNS et que tu peux le configurer pour autoriser des modifications automatiques des zones (avec des clés TSIG par exemple), tu peux tout faire sur ce serveur en utilisation la vérification par entrées DNS fournie par Let's Encrypt.
Est-ce que tu as ces problèmes à cause d'un NAT qui gère les 3 serveurs ? Dans ce cas, une solution serait aussi d'utiliser un réseau IPv6 que Let's Encrypt sait utiliser.
Si Let's Encrypt t'ennuie autant, personne ne te force à utiliser leurs services et ça ne sert strictement à rien de leur cracher dessus: le problème des NAT existe depuis bien avant et il complexifie beaucoup d'autres services également (XMPP, P2P,…) sans que ce soit de leur faute.
[^] # Re: Pour de l'embarqué
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message rendu graphique sur le framebuffer. Évalué à 2.
QtMoko était un projet complet d'OS pour smartphone utilisant Qt Embedded pour faire tout l'affichage sur le framebuffer de l'OpenMoko (et autres périphériques). Ily a peut être encore de la dic qui pourrait etre intéressante : http://qtmoko.sf.net
[^] # Re: Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
PS: j'ai mis officiel entre guillemet car il peut y avoir des tas d'images possibles de Debian: du desktop avec GNOME, KDE, … aux images de serveurs, selon plusieurs architectures processeurs… C'est pas pour rien qu'ils se disent universel :)
[^] # Re: Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
Désolé, je voulais écrire NFS effectivement. Quel est l'intérêt d'itiliser l'image «officielle» de Debian sur Docker Hub ?
Debootstrap est aussi un outil officiel de Debian et il construit directement tout le nécessaire pour en faire une image docker par simple import. Vous aurez en plus l'avantage de ne charger Debian qu'une fois depuis Internet et vous pouvez préparez directement les fichiers systèmes spécifiques à vos besoins.
# Créer sa propre image docker
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Docker montage local/NFS. Évalué à 2.
J'essaierai à votre place de créer directement vous même une image docker en utilisant debootstrap et docker import: https://docs.docker.com/engine/userguide/eng-image/baseimages/
Comme ça, vous pouver directement créer la ligne NTFS dans fstab sans avoir d'erreur. Si jamais, il faut utiliser des entrées bind dans fstab (ou mount avec le type bind) au lieu de faire des liens symboliques entre deux montages différents.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Non, je n'ai rien oublié, je t'ai décrit ce que le protocole ACME te demande de faire pour avoir une certification sans utiliser HTTP.
HPKP et DANE n'entrent pas dans ce processus et c'est normal: pour créer un certificat tu dois juste avoir une paire de clés, un nom de domaine et une autorité reconnue.
C'est toi qui choisit de lier ces 3 concepts, c'est ton problème.
Pour dnnsec, c'est la même remarque: tu as choisit de rendre manuel le changement de ressources DNS, donc c'est ton problème.
ACME fait une chose et le fait très bien: il permet de vérifier que tu possèdes un nom de domaine et te retourne un certificat si c'est le cas.
Certes, le client le plus connu fait déjà un peu plus en gérant lui-même les clés privées, mais ça n'a rien à voire avec un problème sur le protocole ACME.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4.
Je suis d'accord que ton infrastructure a une "trop grande complexité".
J'aimerai bien comprendre en quoi ce processus est compliqué:
Tout en sachant que:
Mono-serveur et mono-domaine correspond à toutes les personnes qui utilisent un raspberry pi pour s'auto-héberger, à beaucoup de personnes qui utilisent un petit hébergement mutualisé,…
Non, voire ci-dessus. Pourquoi j'aurai 2 serveurs dans mon appartement s'ils sont distants de 2 mètres et qu'ils partagent la même adresse IPv4 publique ? Combien d'appartements différents as-tu ? Quelle est ta définition d'auto-hébergé ?
"ÉNORMÉMENT == 10 posts ", franchement ? Je comprends mieux pourquoi "mon cas personnelle == tous les auto-hébergés" :D Et oui, la gestion des certificats requiert beaucoup de connaissances, surtout si tu souhaites te mettre des bâtons dans les roues avec HPKP/DANE et une infrastructure réseau trop complexe.
Je m'y suis mis réellement et je n'ai pas eu tout ces problèmes. C'est HPKP/DANE qui te demandent d'être presque professionnalisé, pas ACME. D'ailleurs, devine pourquoi ces 2 concepts sont peu répandus et pourquoi ACME est très utilisé ?
Non, les grands gagnants sont tous les gens qui peuvent enfin utiliser un formulaire de contact sur de petits sites web sans avoir peur de diffuser plein d'informations en claire sur Internet.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4.
X.509 existait n'a rien à voir avec HPKP et DANE… Ce sont juste des systèmes de certificats, c'est bien toi qui décide de lrs épinglés à la place de tes clés.
ACME ne t'oblige pas d'utiliser HTTP/HTTPS pour t'authentifier, tu peux utiliser DNS et d'autres moyens sont proposés également.
Le protocole ACME n'oblige pas de tout automatiser: tu peux demander un nouveau certificat aujourd'hui, l'installer dans plusieurs jours. Le délais de 60 jours dont tu parles plus haut n'existe pas: il faudrait le faire avant le dernier jour de validité, mais rien ne t'interdit de le faire le 85eme jour.
Il faut que tu acceptes qu'ACME est capable de répondre aux besoins de beaucoup de mondes, mais pas à tes besoins très spécifiques (ton infrastructure ne correspond pas aux plus générales visées par LE).
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 5.
Ce que tu peux faire bien plus tard. Le challenge te permet de récupérer un certificat, il ne t'impose pas de l'installer dans la seconde par le même processus. Il suffit de mettre à disposition le certificat à un autre service qui sera capable de mettre à jour ton DANE…
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Ca n'a rien à voir: la procédure d'authentification est valide, c'est toi qui te met des batons dans les roues. Ce n'est pas la faute à LE si tu es incapable d'ajouter 1 ressource DNS dans ta zone facilement.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3. Dernière modification le 22 septembre 2016 à 23:47.
Désolé, le message ci-dessus était hors sujet avec le commentaire parent.
Ok, alors DNS-01 peut facilement fonctionner avec un Bind9 master qui gère DNSSEC.
Il est plus difficile de le mettre en place sur un serveur DNS master qui ne gère pas DNSSEC.
Ça me paraît évident, puisque l'architecture est de base plus compliquée.
Par contre, ça n'invalide pas la procédure de vérification DNS-01 pour autant, puisqu'elle est utilisable pour identifier si un propriétaire possède bien une zone DNS.
Je crois vraiment que ton problème est que ton architecture réseau est bien trop compliquée pour pouvoir facilement automatiser la génération de certificats. Ce n'est pas à Let's Encrypt de prendre en charge ton infrastructure dans ses services. Ils proposent un moyen simple et standard pour la plus part des gens auto-hébergés et même pour ceux hébergés sur des environnements mutualisés chez certains fournisseurs.
Si tu veux profiter de l'automatisation proposée par ACME, ce sera à toi d'adapter tes configurations ou ton infrastructure. Malheureusement, j'ai l'impression que l'on ne peut pas tout avoir simplement (surtout que DANE et HPKP ne peuvent pas être mis en place, ni mis à jours, sur un coup de tête).
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Bind9 est capable de mettre à jour dynamiquement les fichiers de zones pour avoir une configuration DNSSEC dynamique justement (voir le guide ARM de bind9 pour les détails).
Quand tu utilises cette fonctionnalité, tes fichiers de zone sont constament mis à jour par bind9.
Si tu as bessoin d'un contrôle manuel, tu peux lui demander de geler les modifications (rndc freeze) le temps de faire tes modifications manuelles puis de le dégeler (rndc thaw) pour lui rendre la main.
Comme bind9 gère déjà tes fichiers de zone dynamiquement, il est assez aisé d'ajouter la mise à jour dynamique des ressources par authentification TSIG.
Comme ça la boucle est bouclée et tout peut fonctionner de manière automatique pour ce qui concerne DNSSEC.
Après, je ne me suis pas encore penché sur DANE/TLSA, car ce sont des concepts complexes et dangereux à mettre en place. Personnellement, je préfère avoir des certificats Let's Encrypt complètement automatiquement mise à jour pour l'instant.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4. Dernière modification le 22 septembre 2016 à 23:20.
Donc le problème ne vient pas de DNSSec, ça me rassure :)
Et non, car si tu configures ton serveur DNS correctement, le script acme-dns-tiny ne pourra mettre à jour que les entrées TXT des sous-domaines préfixés par
_acme-challenge.. Tout ceci grâce à une bonne configuration de la mise à jour DNS par des clés TSIG qui ne pourront toucher qu'un nombre restreint d'enregistrements.En plus, les clients ACME n'ont absolument pas besoin d'avoir la clé privée à disposition: seul le CSR est nécessaire et la clé ACME de ton compte enregistré chez LE (ou un autre CA d'ailleurs…).
Donc pour tes problèmes, ce challenge est valide: le client ne connaît pas la clé privée TLS et il ne peut pas modifier les entrées DANE/TLSA, seulement les TXT sur certains sous-domaines.
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 3.
Je n'ai eu aucun problèmes avec DNSSec et mon client acme-dns-tiny. Quels problèmes as-tu ?
[^] # Re: L’automatisation, c’est bon, mangez-en
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au message Let's Encrypt en prod en entreprise. Évalué à 4. Dernière modification le 22 septembre 2016 à 22:17.
Les CGUs ne doivent pas être codées en dur dans les clients ACME: le
dictionnarypermet de connaître les CGUs en cours, il y a un Link aussi dans les réponses HTTP qui peut être renseigné par le serveur. Si l'utilisateur renseigne son e-mail lors de la création de son compte ACME, il pourrait aussi être averti en avance.Le passage de X1 vers X3 s'est passé durant la phase bêta si je ne me trompe pas.
Le challenge DNS permet de ne pas toucher à son serveur HTTP/HTTPS et permet une grande flexibilité dans son infrastructure. Par contre, il faut maîtriser un minimum son serveur DNS.
IPv6… Comment dire… Je suis très enthousiaste face à cette technologie, mais elle n'est pas évidente à utiliser pour des services d'authentification à mon avis. En plus, si ça a été activé récemment comme je l'ai lu dans les autres commentaires, ça veut dire qu'ils ont pu mettre en place cette infrastructure en moins d'une année après la sortie officielle de leur service (la version non beta donc). Moi je leur dit plutôt chapeau !
Ah et si leurs services ne te plaisent pas les spécifications sont ouvertes et leurs logiciels serveurs aussi il me semble…
# Dans un signet sous la notation du contenu
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à l’entrée du suivi Indication de nouveaux commentaires à côté du titre du contenu. Évalué à 2 (+0/-0).
Hello
C'est une bonne remarque.
Sur mon mobile les titres sont souvent sur 2 lignes sur les 3/4 de la partie gauche de l'écran. Sur le dernier quart à droite et sur la hauteur d'une ligne je vois la note du journal.
Je pense qu'en mobile on pourrait profiter d'utiliser le blanc qui se trouve aux 3/4 à droite sur la deuxième ligne pour afficher un signet (comme celui de la notation) avec un résumé du style "nombre de non lus / nombres de commentaires".
Je pense à un signet plus discret que celui de la notation et avec une taille de police plus petite pour que 999/999 passe sur 1 ligne.
J'essaierai ce soir de faire un mockup pour mieux m'expliquer :)
[^] # Re: vive Paypal
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Paypal en a marre que l’on dise que c’est nul. Évalué à 3.
Paypal peut être utilisé sans carte de crédit. Pour ça, il faut ouvrir un compte sur leur site et faire un versement depuis ta banque sur le compte paypal avec les références reçues. Le désavantage est que tu perds plusieurs jours pour que le virement soie pris en compte.
Par contre, tu peux faire des payements sur Internet sans cartes de crédit et sans donner les clés de ses comptes bancaires à PayPal.
[^] # Re: Et les valeurs du logiciel libre ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Donnez votre avis sur la nouvelle architecture de Cozy. Évalué à 2.
Oups: s/autout d'elle/autour d'elle/
Sur la page citée aussi ;)
# Améliorer Internet
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Le Cloud et la gestion de ses poubelles. Évalué à 2.
J'aime bien l'idée d'améliorer Internet :)
Je vois plusieurs services qui pourraient être intéressant et qui pourraient nécessiter pas mal de ressources:
Après, pour tout ceci, avoir les machines c'est bien, mais la gestion des mises à jour et de chacun des services sera certainement très chronophage.
Je pense qu'il serait intéressant de discuter avec ce genres de projets pour voir s'ils souhaitent investir leur temps dans le maintient de service sur ces machines.
Malheureusement, comme dit plus haut, ce sera juste un moyen d'absorber un peu plus ces déchets sans être une solution pour en diminuer la quantité.
[^] # Re: Tiptop le sexisme
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Ouverture du site Libre Games Initiatives. Évalué à 4. Dernière modification le 29 août 2016 à 13:30.
Alors j'aimerai bien connaître ces qualificatifs pour le français et l'allemand.
Je suis fracophone d'enfance, mais j'ai dû apprendre l'allemand, comme une bonne partie de la population suisse.
Comme j'ai de gros problèmes pour retenir les choses par cœur, ce genre de qualificatifs pourraient m'aider à me créer des règles pour savoir le genre des noms en allemand.
Pourrais-tu me donner ces qualificatifs pour le français ? Si tu y arrives, j'essaierai de trouver une correspondance avec l'allemand.
Par exemple, si en français, je dis "la soleil" à la place de "le soleil" quels sont ces qualificatifs cachés (quels changements dois-je comprendre) ? Ca pourrait m'aider à mettre en exergue les qualificatifs cachés germanophones qui déterminent que soleil est "die Sonne" et non pas "der Sonne".
[^] # Re: mensonger ?
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal PrimTux dans une machine virtuelle sous Windows. Évalué à 4. Dernière modification le 29 août 2016 à 13:09.
Comme tu peux le voir dans les captures d'écran, l'exe contient un "VirtualBox Portable".
L'idée des applications portables est de pouvoir exécuter un logiciel sans avoir besoin de l'installer (juste copier le dossier du logiciel dans un répertoire).
Peut-être que Windows requiert des droits pour écrire dans le dossier Public de la capture d'écran (quoique, vu le nom, ça devrait jouer), mais c'est le seul moment où ce serait nécessaire.
Donc, à essayer avant de dire que ce post est menssongé…
Edit:
En plus, c'est bien indiqué dans l'aricle:
Donc même pas besoin d'essayer ;)
[^] # Re: Marrant
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Gitlab 8.11: vue Kanboard et bien plus . Évalué à 4.
Du point de vue administrateur de forge, je préfère largement limiter au maximum les applications tierces qui viennent ajouter une couche par dessus la forge. Car à la moindre mise à jour de l'application ou de la forge, je risque de perdre l'interopérabilité des 2 outils (ce genre de conflits m'est arrivé fréquemment entre le trio Debian, Redmine et un plugin Redmine qui permettait de gérer git).
Alors que si c'est intégré directement dans le code source de l'application principale, la mise à jour de la forge engendrera moins de bugs. S'il y a un bug, il n'y a qu'une équipe à avertir et qui maitrisera tout le code.
[^] # Re: Je suis d'accord pour la plupart des arguments
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse à la dépêche Appel de wallabag aux fabricants de liseuse. Évalué à 2. Dernière modification le 25 août 2016 à 09:22.
Mon argument était pour opposer la liseuse aux smartphones et tablettes qui ont un écran rétro-éclairé.
Les avantages par rapport au papier, il en existe en effet des dizaines. Celui qui me convainc le plus est d’éviter de continuer la déforestation de la planète pour des livres qui finiront par prendre la poussière dans des bibliothèques.
[^] # Re: Héhé
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Microsoft: Powershell libéré. Évalué à 1.
En même temps, je ne vois pas trop comment systemd pourrait déterminer le moment opportun pour afficher le log ?
Imaginons, que ce soit dès que le processus est lancé: tu verras dans le log des lignes du genres "Starting service…." et tu ne verras pas qu'un peu plus tard le service n'arrive pas à atteindre certains fichiers. Là tu auras l'impression que systemd a menti car il a indiqué le status "OK", alors qu'en réalité le service a échoué.
En fait, le seul cas que je vois pour que systemd puisse t'afficher un retour est le cas où le processus ne peut pas être exécuté (lanceur introuvable par systemd par exemple) ou la configuration du service ne suit pas les attentes de systemd. Il me semble que dans ce cas, systemd renvoie bien des erreurs.