Loomio
Mon 4 Jan 2016 6:32PM

letsencrypt sur le site web

A anarcat Public Seen by 294

De IRC:

18:16:38  hey, maybe reseaulibre.ca could get a let's encrypt cert? :)

Let's encrypt permet d'obtenir des certificats HTTPS gratuits et facilement. J'ai récemment configuré cela pour mon blog personnel et les résultats semblent bon. Il me reste à configurer le renouvellement automatique, notez bien.

Je pourrais faire une configuration similaire pour réseaulilbre. La question est:

  1. est-ce qu'on veut du HTTPS sur le site web?
  2. si oui, est-ce qu'on veut forcer HTTPS?

L'impact est que certaines navigateurs ne pourront plus consulter le site web. Pour voir l'impact, voir les résultats du test de Qualys. Vous pouvez ainsi voir que Internet Explorer 6 sur Windows XP n'est pas supporté. Désolé. :p

Note technique: j'utilise toujours ikiwiki-hosting pour gérer le wiki, et je vais donc suivre et mettre à jour ces instructions.

A

anarcat Mon 25 Jan 2016 3:21PM

ça serait cool si tu pouvais faire un copy-paste.

un autre problème que j'ai identifié sur mon blog est le login en openid - il passe par un sous-domaine non inclus dans le certificat.

donc encore du travail à faire avant de faire le HTTPS only, si je comprends bien, mais on est d'accord qu'on veut aller par là?

MG

Mathieu Gauthier-Pilote Mon 25 Jan 2016 4:11PM

J'ai opté pour des captures d'écran vu que le formatage du texte se perdait dans le transfert. :-)

A

anarcat Mon 25 Jan 2016 5:09PM

hmm... ca parle de civicrm ca, une autre affaire non? il reste que ceci est pertinent:

https://github.com/openlayers/ol2/issues/1025

la patch à civi: https://github.com/civicrm/civicrm-core/pull/5654/files

on host notre propre copie de openlayers, donc je pense qu'il faut juste utiliser des "tiles" qui sont https, right?

ou il y a d'autres warnings?

MG

Mathieu Gauthier-Pilote Mon 25 Jan 2016 6:34PM

Oui, il faut utiliser un serveur de tuiles OpenStreetMap en https

A

anarcat Tue 2 Feb 2016 1:02AM

le login openid devrait marcher maintenant, et j'ai renouvele le certificat jusqu'au 1er mai. je confirme que je recois bien un email 20 jours avant le renouvellement aussi.

A

anarcat Tue 5 Apr 2016 1:42AM

j'ai renouvelé le certificat pour RL, et tout semble fonctionner correctement. la nouvelle commande letsencrypt renew fonctionne assez bien dans le package debian (maintenant dans jessie-backports!) je vais pas mal être rendu à automatiser tout ça...

note to self, il reste deux bugs, pour la prochaine fois que je veux gosser sur ça.

  1. la map est en HTTPS, ce qui marche juste pas, faut utiliser HTTP ou trouver un autre tile provider
  2. le test de qualys indique que le chain est pas dans le bon ordre, à corriger?

éventuellement, évidemment, ça serait mieux que tout ça ne roule pas en root (apparamment, c'est possible maintenant), voire même utiliser un autre client, voir http://ikiwiki-hosting.branchable.com/todo/letsencrypt_support/?updated pour la discussion complète.

A

anarcat Fri 8 Apr 2016 1:17PM

on a changé les layers pour utiliser cartodb et un autre nommé "outdoors", qui supportent le SSL. j'ai aussi retiré le spyware (google maps), donc j'ai pu basculer à HTTPS-only.

il reste la question mineure du chain qui est un peu croche, mais ca me semble peu important.