Loomio
Mon 4 Jan 2016

letsencrypt sur le site web

A
anarcat Public Seen by 294

De IRC:

18:16:38  hey, maybe reseaulibre.ca could get a let's encrypt cert? :)

Let's encrypt permet d'obtenir des certificats HTTPS gratuits et facilement. J'ai récemment configuré cela pour mon blog personnel et les résultats semblent bon. Il me reste à configurer le renouvellement automatique, notez bien.

Je pourrais faire une configuration similaire pour réseaulilbre. La question est:

  1. est-ce qu'on veut du HTTPS sur le site web?
  2. si oui, est-ce qu'on veut forcer HTTPS?

L'impact est que certaines navigateurs ne pourront plus consulter le site web. Pour voir l'impact, voir les résultats du test de Qualys. Vous pouvez ainsi voir que Internet Explorer 6 sur Windows XP n'est pas supporté. Désolé. :p

Note technique: j'utilise toujours ikiwiki-hosting pour gérer le wiki, et je vais donc suivre et mettre à jour ces instructions.

A

anarcat started a proposal Mon 4 Jan 2016

activer letsencrypt sur wiki.reseaulibre.ca Closed Thu 7 Jan 2016

Outcome
by anarcat Mon 15 May 2017

https://wiki.reseaulibre.ca/ maintenant en place avec let's encrypt! veuillez tester. :)

configuration de letsencrypt sur wiki.reseaulibre.ca, sans auto-renouvellement pour l'instant (ce qui veut dire que ça brise si je n'intervient pas à temps dans 3 mois).

je reçois un courriel quand ça expire, donc ça ne devrait pas être un problème, et je vais configurer mon blog un mois avant, donc probablement configurer l'auto-renouvellement partout pendant que je suis là...

Results
Agree - 5
Abstain - 5
Disagree - 5
Block - 5
5 people have voted (22%)
A

anarcat
Agree
Mon 4 Jan 2016

NM

Nicolas Marchildon
Agree
Mon 4 Jan 2016

FB

Francis Brunelle
Agree
Tue 5 Jan 2016

MG

Mathieu Gauthier-Pilote
Agree
Wed 6 Jan 2016

FR

Fredy Rouge
Agree
Wed 6 Jan 2016

A

anarcat Mon 4 Jan 2016

hmmm... je n'arrive pas à mettre une deuxième proposition ici (wtf) - donc si vous êtes contre le HTTPS forcé, mettez que vous êtes en "désaccord" ("disagree") et non "bloquer" ("block") et clarifier pourquoi dans votre vote, puis on verra...

NM

Nicolas Marchildon Tue 5 Jan 2016

HSTS serait bien, avec ça!

A

anarcat Fri 8 Jan 2016

HSTS, je sais pas trop comment ca fonctionne, et je suis pas certain que c'est une très bonne idée, parce qu'on peut facilement se tirer dans le pied avec ça. mais si tu as un snippet apache facile à insérer... peut-être?

A

anarcat started a proposal Fri 8 Jan 2016

HTTPS-only sur le wiki Closed Mon 11 Jan 2016

Outcome
by anarcat Mon 15 May 2017

HTTPS-seulement accepté, mais il y a un bug d'implantation. une fois ces bugs résolus, on implante la solution. n'hésitez-pas à signaler d'autres bugs ici. update: 2016-04-08: https-seulement en place.

activation de la redirection http://wiki.reseaulibre.ca/ -> https://wiki.reseaulibre.ca/

il s'agit ici que les gens testent la version HTTPS pour voir si tout va bien pour eux, apres je peux l'activer.

Results
Agree - 4
Abstain - 4
Disagree - 4
Block - 4
4 people have voted (18%)
B

bgm
Agree
Fri 8 Jan 2016

Un peu comme débattre entre gopher vs http ;-)

NM

Nicolas Marchildon
Agree
Fri 8 Jan 2016

FR

Fredy Rouge
Agree
Fri 8 Jan 2016

FB

Francis Brunelle
Agree
Sat 9 Jan 2016

La version HTTPS fonctionne bien pour moi.

A

anarcat Fri 8 Jan 2016

il y a aussi HPKP qui est un foutu bordel à intégrer à letsencrypt, si vous voulez vous amuser... :p

FB

Francis Brunelle Sat 9 Jan 2016

Tout a l'air assez bien: https://www.ssllabs.com/ssltest/analyze.html?d=wiki.reseaulibre.ca&s=206.248.172.91&latest

Y'a un warning qui dit "Chain issues: Incorrect order, Extra certs" et une couple d'autres affaires qui ont l'air assez mineur.

MG

Mathieu Gauthier-Pilote Sun 10 Jan 2016

La carte ne s'affiche pas en https:// car les tuiles d'OpenStreetMap ne sont disponibles directement que depuis http://

Par un drôle de hasard, FACIL a rencontré le même problème récemment.

Voir le bug 19188 que Mathieu Lutfy a réussi à solutionner/contourner :

https://redmine.koumbit.net/issues/19188

(Il faut être connecté avec un compte sur le Redmine de Koumbit. Si nécessaire, je peux faire du copier-coller du bogue et de sa résolution ici.)

A

anarcat Mon 25 Jan 2016

ça serait cool si tu pouvais faire un copy-paste.

un autre problème que j'ai identifié sur mon blog est le login en openid - il passe par un sous-domaine non inclus dans le certificat.

donc encore du travail à faire avant de faire le HTTPS only, si je comprends bien, mais on est d'accord qu'on veut aller par là?

MG

Mathieu Gauthier-Pilote Mon 25 Jan 2016

J'ai opté pour des captures d'écran vu que le formatage du texte se perdait dans le transfert. :-)

A

anarcat Mon 25 Jan 2016

hmm... ca parle de civicrm ca, une autre affaire non? il reste que ceci est pertinent:

https://github.com/openlayers/ol2/issues/1025

la patch à civi: https://github.com/civicrm/civicrm-core/pull/5654/files

on host notre propre copie de openlayers, donc je pense qu'il faut juste utiliser des "tiles" qui sont https, right?

ou il y a d'autres warnings?

MG

Mathieu Gauthier-Pilote Mon 25 Jan 2016

Oui, il faut utiliser un serveur de tuiles OpenStreetMap en https

A

anarcat Tue 2 Feb 2016

le login openid devrait marcher maintenant, et j'ai renouvele le certificat jusqu'au 1er mai. je confirme que je recois bien un email 20 jours avant le renouvellement aussi.

A

anarcat Tue 5 Apr 2016

j'ai renouvelé le certificat pour RL, et tout semble fonctionner correctement. la nouvelle commande letsencrypt renew fonctionne assez bien dans le package debian (maintenant dans jessie-backports!) je vais pas mal être rendu à automatiser tout ça...

note to self, il reste deux bugs, pour la prochaine fois que je veux gosser sur ça.

  1. la map est en HTTPS, ce qui marche juste pas, faut utiliser HTTP ou trouver un autre tile provider
  2. le test de qualys indique que le chain est pas dans le bon ordre, à corriger?

éventuellement, évidemment, ça serait mieux que tout ça ne roule pas en root (apparamment, c'est possible maintenant), voire même utiliser un autre client, voir http://ikiwiki-hosting.branchable.com/todo/letsencrypt_support/?updated pour la discussion complète.

A

anarcat Fri 8 Apr 2016

on a changé les layers pour utiliser cartodb et un autre nommé "outdoors", qui supportent le SSL. j'ai aussi retiré le spyware (google maps), donc j'ai pu basculer à HTTPS-only.

il reste la question mineure du chain qui est un peu croche, mais ca me semble peu important.