Let’s Encrypt, du SSL (vert !) gratuit pour tous

Ça y est !

Depuis le 3 décembre, le glas des prestataires de certificats SSL a sonné… Ou presque !
En effet, jusqu’à ce 3 décembre, avoir un beau certificat vert dans la barre d’adresse lorsque l’on affichait son site était forcément fait contre monnaie sonnante et trébuchante !
lets_encrypt

Aujourd’hui, la démocratisation du SSL est en marche,.. A quelques conditions…

Je ne vais pas parler technique (à venir), mais bien théorie.

Edward Snowden déclarait en juin 2013 qu’une réflexion sur la sécurité informatique était lancée, et le projet porté par l’Electronic Frontier Foundation en collaboration avec la fameuse Université du Michigan démarre. Ce projet sera rejoint par Mozilla qui alors ensemble créent « Let’s Encrypt », donc la naissance est officialisée le 18 novembre 2014.
lets-encrypt

Aujourd’hui, le projet est en beta publique et permet à chacun de générer des certificats gratuits X.509 pour le protocole cryptographique TLS.

Donc, la limite de ce système est la garantie financière que proposent les prestataires de certificats, qui est donc là inexistante,… Normal !

Par contre, pour le référencement, c’est le top ! Et si comme moi vous êtes à la recherche de performances, que vous voulez utiliser HTTP/2 ou autres TLS via Nginx, alors il ne faut plus hésiter… Foncez ! Les certificats sont reconnus par tous les navigateurs, sauf apparemment sur windows XP IE8 pour le simple motif que XP n’est plus mis à jour.

Je ferai un debrief sur mes futures installs un peu plus tard, le modus operandi d’installation étant très bien fait sur le site de Let’s Encrypt :
https://letsencrypt.readthedocs.org/en/latest/intro.html

A lire en français, un résumé via wikipédia :
https://fr.wikipedia.org/wiki/Let%27s_Encrypt

Quelques questions réponses résumant la situation :
Qui soutient le projet ?
Ce projet est gratuit, open source, et est soutenu par des organismes, fondations sociétés tels que Facebook (depuis le 3 décembre 2015), Mozilla, Akamai, Cisco, etc… Bref, des monstres du net…
LetsEncryptSponsors
Wilcard ?
– non, mais il suffit d’indiquer à la génération des certificats tous les domaines concernés
Mieux que StartSSL gratuit ?
– pas mieux sur la certification, mais en tout cas, possibilité de gérer les sous-domaines, les multi-domaines, etc… Gratuitement (mais sans garanties financières !)
Quid du renouvellement de certificat ?
– une génération automatique est possible pour le renouvellement (à voir, je testerai), « Let’s Encrypt » vous averti de l’expiration par mail (donné à la génération des clés)

lets-encrypt

Voilà, maintenant, je ne souhaite que voir votre joie à découvrir vos magnifiques A sur SSL Labs :letsencryptssllabsa

A plus !

le bug bash CVE-2014-6271, résolution…

Le bug bash, c’est quoi ?
slide
C’est une faille (connue depuis longtemps, si si !!!) qui affecte les systèmes Linux, Unix, et Mac OS X, et qui est une sérieuse vulnérabilité qui permet à tout esprit malveillant (le monde de l’informatique est cruel grrr grrr) de prendre le contrôle total d’une machine, donc d’en effacer le contenu (ça, c’est dommage), ou d’y installer des logiciels-espions (en même temps s’il n’y a plus rien, y’a aucun intérêt !) Lire la suite

Nginx, SSL et certificat

Dans le billet relatif à l’installation de Nginx, je vous avais présenté une compilation qui me correspondait, à savoir : https://blog.aulica-conseil.com/index.php/installation-full-de-nginx-1-4-2-ngx_pagespeed-inside/

Pour ajouter le certificat qui vous permettra d’éviter cette page :
connexion-non-securisee

 

 

 

 

Lire la suite

Se protéger (un peu) avec Nginx…

nginx
Adepte de Nginx, je souhaitais partager avec un vous un petit retour sur la protection ! Aujourd’hui, voici un petit moyen simple de prévenir, ralentir (mais pas empêcher !!!) les attaques, DDOS par exemple. (En gros et selon wikipédia : « Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.[…] La suite c’est par ici : http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service). Lire la suite