Loomio
January 4th, 2016 18:32

letsencrypt sur le site web

anarcat
anarcat Public Seen by 290

De IRC:

18:16:38 <xSmurf> hey, maybe reseaulibre.ca could get a let's encrypt cert? :)

Let's encrypt permet d'obtenir des certificats HTTPS gratuits et facilement. J'ai récemment configuré cela pour mon blog personnel et les résultats semblent bon. Il me reste à configurer le renouvellement automatique, notez bien.

Je pourrais faire une configuration similaire pour réseaulilbre. La question est:

  1. est-ce qu'on veut du HTTPS sur le site web?
  2. si oui, est-ce qu'on veut forcer HTTPS?

L'impact est que certaines navigateurs ne pourront plus consulter le site web. Pour voir l'impact, voir les résultats du test de Qualys. Vous pouvez ainsi voir que Internet Explorer 6 sur Windows XP n'est pas supporté. Désolé. :p

Note technique: j'utilise toujours ikiwiki-hosting pour gérer le wiki, et je vais donc suivre et mettre à jour ces instructions.

anarcat

anarcat started a proposal January 4th, 2016 18:35

activer letsencrypt sur wiki.reseaulibre.ca Closed 1:07pm - Thursday 7 Jan 2016

Outcome
by anarcat May 15th, 2017 03:14

https://wiki.reseaulibre.ca/ maintenant en place avec let's encrypt! veuillez tester. :)

configuration de letsencrypt sur wiki.reseaulibre.ca, sans auto-renouvellement pour l'instant (ce qui veut dire que ça brise si je n'intervient pas à temps dans 3 mois).

je reçois un courriel quand ça expire, donc ça ne devrait pas être un problème, et je vais configurer mon blog un mois avant, donc probablement configurer l'auto-renouvellement partout pendant que je suis là...

Results
Agree - 5
Abstain - 0
Disagree - 0
Block - 0
5 people have voted (0%)
anarcat

anarcat
Agree
January 4th, 2016 18:35

anarcat

anarcat January 4th, 2016 18:38

hmmm... je n'arrive pas à mettre une deuxième proposition ici (wtf) - donc si vous êtes contre le HTTPS forcé, mettez que vous êtes en "désaccord" ("disagree") et non "bloquer" ("block") et clarifier pourquoi dans votre vote, puis on verra...

Nicolas Marchildon

Nicolas Marchildon
Agree
January 4th, 2016 23:53

Nicolas Marchildon

Nicolas Marchildon January 5th, 2016 00:05

HSTS serait bien, avec ça!

Francis Brunelle

Francis Brunelle
Agree
January 5th, 2016 03:09

Mathieu Gauthier-Pilote

Mathieu Gauthier-Pilote
Agree
January 6th, 2016 18:36

Fredy Rouge

Fredy Rouge
Agree
January 6th, 2016 19:17

anarcat

anarcat started a proposal January 8th, 2016 22:07

HTTPS-only sur le wiki Closed 10:07am - Monday 11 Jan 2016

Outcome
by anarcat May 15th, 2017 03:14

HTTPS-seulement accepté, mais il y a un bug d'implantation. une fois ces bugs résolus, on implante la solution. n'hésitez-pas à signaler d'autres bugs ici. update: 2016-04-08: https-seulement en place.

activation de la redirection http://wiki.reseaulibre.ca/ -> https://wiki.reseaulibre.ca/

il s'agit ici que les gens testent la version HTTPS pour voir si tout va bien pour eux, apres je peux l'activer.

Results
Agree - 4
Abstain - 0
Disagree - 0
Block - 0
4 people have voted (0%)
anarcat

anarcat January 8th, 2016 22:08

HSTS, je sais pas trop comment ca fonctionne, et je suis pas certain que c'est une très bonne idée, parce qu'on peut facilement se tirer dans le pied avec ça. mais si tu as un snippet apache facile à insérer... peut-être?

anarcat

anarcat January 8th, 2016 22:10

il y a aussi HPKP qui est un foutu bordel à intégrer à letsencrypt, si vous voulez vous amuser... :p

bgm

bgm
Agree
January 8th, 2016 22:28

Un peu comme débattre entre gopher vs http ;-)

Nicolas Marchildon

Nicolas Marchildon
Agree
January 8th, 2016 22:35

Fredy Rouge

Fredy Rouge
Agree
January 8th, 2016 23:07

Francis Brunelle

Francis Brunelle
Agree
January 9th, 2016 13:30

La version HTTPS fonctionne bien pour moi.

Francis Brunelle

Francis Brunelle January 9th, 2016 13:34

Tout a l'air assez bien: https://www.ssllabs.com/ssltest/analyze.html?d=wiki.reseaulibre.ca&s=206.248.172.91&latest

Y'a un warning qui dit "Chain issues: Incorrect order, Extra certs" et une couple d'autres affaires qui ont l'air assez mineur.

Mathieu Gauthier-Pilote

Mathieu Gauthier-Pilote January 10th, 2016 16:35

La carte ne s'affiche pas en https:// car les tuiles d'OpenStreetMap ne sont disponibles directement que depuis http://

Par un drôle de hasard, FACIL a rencontré le même problème récemment.

Voir le bug 19188 que Mathieu Lutfy a réussi à solutionner/contourner :

https://redmine.koumbit.net/issues/19188

(Il faut être connecté avec un compte sur le Redmine de Koumbit. Si nécessaire, je peux faire du copier-coller du bogue et de sa résolution ici.)

anarcat

anarcat January 25th, 2016 15:21

ça serait cool si tu pouvais faire un copy-paste.

un autre problème que j'ai identifié sur mon blog est le login en openid - il passe par un sous-domaine non inclus dans le certificat.

donc encore du travail à faire avant de faire le HTTPS only, si je comprends bien, mais on est d'accord qu'on veut aller par là?

Mathieu Gauthier-Pilote

Mathieu Gauthier-Pilote January 25th, 2016 16:11

J'ai opté pour des captures d'écran vu que le formatage du texte se perdait dans le transfert. :-)

anarcat

anarcat January 25th, 2016 17:09

hmm... ca parle de civicrm ca, une autre affaire non? il reste que ceci est pertinent:

https://github.com/openlayers/ol2/issues/1025

la patch à civi: https://github.com/civicrm/civicrm-core/pull/5654/files

on host notre propre copie de openlayers, donc je pense qu'il faut juste utiliser des "tiles" qui sont https, right?

ou il y a d'autres warnings?

Mathieu Gauthier-Pilote

Mathieu Gauthier-Pilote January 25th, 2016 18:34

Oui, il faut utiliser un serveur de tuiles OpenStreetMap en https

anarcat

anarcat February 2nd, 2016 01:02

le login openid devrait marcher maintenant, et j'ai renouvele le certificat jusqu'au 1er mai. je confirme que je recois bien un email 20 jours avant le renouvellement aussi.

anarcat

anarcat April 5th, 2016 01:42

j'ai renouvelé le certificat pour RL, et tout semble fonctionner correctement. la nouvelle commande letsencrypt renew fonctionne assez bien dans le package debian (maintenant dans jessie-backports!) je vais pas mal être rendu à automatiser tout ça...

note to self, il reste deux bugs, pour la prochaine fois que je veux gosser sur ça.

  1. la map est en HTTPS, ce qui marche juste pas, faut utiliser HTTP ou trouver un autre tile provider
  2. le test de qualys indique que le chain est pas dans le bon ordre, à corriger?

éventuellement, évidemment, ça serait mieux que tout ça ne roule pas en root (apparamment, c'est possible maintenant), voire même utiliser un autre client, voir http://ikiwiki-hosting.branchable.com/todo/letsencrypt_support/?updated pour la discussion complète.

anarcat

anarcat April 8th, 2016 13:17

on a changé les layers pour utiliser cartodb et un autre nommé "outdoors", qui supportent le SSL. j'ai aussi retiré le spyware (google maps), donc j'ai pu basculer à HTTPS-only.

il reste la question mineure du chain qui est un peu croche, mais ca me semble peu important.