[Résolu] Accès sécurisé en HTTPS

Bonjour,

j’aimerais que le forum utilise SSL/HTTPS.
Si quelqu’un a un accès SSH à la machine, ça serait bien de lancer un coup de letsencrypt. C’est gratuit, ça prend 30sec et c’est automatisé.

Merci,

1 J'aime

Oui c’est très important.
On a prévu de mettre à jour la version de Discourse et de mettre en place le SSL en même temps je crois. Avant la rentrée!

on doit le faire ce soir :slight_smile:

@Jean-Marc_Le_Roux : que penses tu d’un certificat SSL wildcard? c’est payant, certes mais toutes les URLs en *.mavoix.info seraient alors dispo en HTTPS…

En fait il y a des limites à l’utilisation de letsencrypt … c’est un certificat lié à une IP… il faut le renouveller tout les 90 jours, il n’est pas pris en compte sur tout les navigateurs pour le moment… bref c’est pas si simple …

@David devrait pouvoir nous en dire plus, il a pas mal étudié le tintouin.

@Jean-Marc_Le_Roux ? une réaction ? :blush:

Il m’a parlé de « cron » pour pouvoir exécuter des scripts a periode régulière. Donc pour renouveler le certif c’est mas dur. On a un peu discuté. En fait rien empêche de continuer cette conversation (certif wildcard etc…) pour trouver une solution pérenne sans trop de maintenance mais de mettre en place rapidement un SSL gratuit letsencrypt. Surtout que ca a l air simple…

Bonjour,

Voilà les premiers éléments que j’ai pu récolter, n’hésitez pas à me corriger, je ne suis pas spécialiste du sujet, les + et les - de let’s encrypt (https://letsencrypt.org/)
En + :

  • Facile à mettre en place pour Discourse (tout est prêt, il n’y a qu’a modifier un fichier de configuration et lancer une mise à jour).
  • Gratuit (habituellement, le coût d’un certificat est plutôt de l’ordre de 60 Euros par an)
  • Le certificat racine de let’s encrypt n’est pas présent sur tous les navigateurs, mais une signature croisée permet une utilisation transparente pour l’utilisateur (pas d’affichage de message d’avertissement concernant la sécurité)
    En - :
  • Complexifie le processus de changement de machine, en cas de problème. C’est à tester, mais je pense que Discourse risque carrément de ne pas démarrer sur une machine dont l’IP ne correspond pas au certificat. Il faudrait soit alors désactiver l’accès sécurisé, soit attendre la propagation DNS pour faire des tests de reprise.
  • Pas de certificat de type Organization Validation (OV) or Extended Validation (EV) . Mais bon, je vois pas trop l’impact pour des non-spécialistes.
  • Certificats d’une durée de 90 jours, renouvelables automatiquement avec les outils fournis, mais quand même des risques supplémentaires de plantage.
2 J'aime

Non, aucun lien entre le certificat et une IP.
Le changement de machine ne pose aucun soucis, c’est le nom de domaine qui compte.
Sur une nouvelle machine, il suffit de relancer le certbot et il récupère le certificat.

[quote=« Jean-Marc_Le_Roux, post:8, topic:333 »]
Sur une nouvelle machine, il suffit de relancer le certbot et il récupère le certificat.
[/quote] : pas tant que le DNS ne pointe pas vers la nouvelle machine (Let’s Encrypt relies on DNS working and pointing to your server in order to get a certificate), et du coup le démarrage de discourse risque de planter sur la nouvelle machine (ça plante en tout cas sur un rebuild de discourse) ce qui ne permettait pas de tester le fonctionnement d’une machine reconstruite avant de la lancer en prod. Mais c’est pas grave, on peut desactiver temporairement https pour des tests de reprises.
Quoi qu’il en soit on passe en https ce mercredi, il y a un fil qui en parle, mais étiqueté staff et donc pas lisible par tout le monde si j’ai bien compris, ça me gène un peu, je vais en parler au bon endroit.

Ca n’a pas de rapport avec Let’s Encrypt et ça sera le cas avec n’importe quel certificat SSL : si le DNS ne match pas avec le certificat, alors il y’aura un (gros) warning/erreur et il faudra manuellement accepter le certificat.

Mais encore une fois, à priori, pas de rapport avec Let’s Encrypt.

Surtout que les certificats, une fois installés par le certbot, peuvent être déplacé manuellement d’une machine à une autre sans avoir à relancer cerbot (qui sert surtout pour les installer la première fois et les mettre à jour) ; comme n’importe quels autres certificats.

[quote=« Jean-Marc_Le_Roux, post:10, topic:333 »]
Surtout que les certificats, une fois installés par le certbot, peuvent être déplacé manuellement d’une machine à une autre sans avoir à relancer cerbot (qui sert surtout pour les installer la première fois et les mettre à jour) ; comme n’importe quels autres certificats.
[/quote] Oui, je n’avais pas vu les choses comme cela, tu as raison.

Après en 400€ pour acheter un wildcard ou 30min pour lire la doc Let’s Encrypt je vous laisse choisir. Mais si vous cherchez un mec qui peut témoigner que ça marche… bah ça marche :slight_smile:

D’ailleurs https://cocorico.cc/ utilise Let’s Encrypt ! (mais honnêtement à chaque fois que je lance certbot j’ai l’impression que c’est magique hein…)

2 J'aime

C’est fait, nous sommes en HTTPS, avec Let’s Encrypt
poke @Martin @Jean-Marc_Le_Roux

1 J'aime

Ouiiiiiiiiiiiiiiiiii. Merci ! :slight_smile:

Du coup, si vous vous ennuyez maintenant y’a ça… aussi… stoplé…

2 J'aime

euh … oui, c’est prévu de passer le wiki en https :slight_smile:
tu voudrais pas nous aider ? stoplé :blush:

Coooool :slight_smile:

@toan_lyon J’ai déjà mis en place Let’s Encrypt si c’est pour mettre le wiki en HTTPS, et je peux voir pour mettre en place le plugin SSO si besoin !

1 J'aime

Salut @Martin, du coup on passe cette discussion pour le SSO sur le wiki dans le fil de discussion concerné si tu veux bien ^^

Ensuite @toan_lyon tu mélanges SSO et SSL… du coup j’ai créé un fil de discussion pour passer le Wiki en HTTPS.

oups, j’avais lu ssl :slight_smile:

1 J'aime