Let's Encrypt supporte désormais IPv6

Let’s Encrypt supporte désormais IPv6

À qui le tour ?

Avatar de l'auteur
David Legrand

Publié dans

Internet

29/07/2016 2 minutes
36

Let's Encrypt supporte désormais IPv6

C'est fait. L'équipe de Let's Encrypt vient d'annoncer que son infrastructure permettant de délivrer des certificats SSL/TLS était désormais entièrement compatible avec IPv6. Une nouvelle étape est franchie, mais ce n'est pas la dernière.

C'est une annonce que certains attendaient depuis longtemps, elle est désormais réalité : Let's Encrypt supporte l'IPv6. Une étape importante pour le projet qui ne l'utilisait que partiellement jusque là. Cela lui permet de s'adapter à des systèmes qui utilisent exclusivement IPv6 et non plus IPv4, ce qui va devenir de plus en plus courant maintenant que la transition commence à être bien entamée, même si énormément de travail reste à faire.

L'équipe va désormais se consacrer sur ses deux prochains défis : le support des domaines internationalisés (IDN) attendu pour la fin de l'année, et le passage à un certificat intermédiaire utilisant ECDSA (Elliptic Curve Digital Signature Algorithm) plutôt que RSA. Cela devrait être le cas avant le 31 mars 2017.

Actuellement, Let's Encrypt assure le fonctionnement de plus de 4 millions de certificats (non expirés), un chiffre qui semble atteindre un palier depuis quelques semaines après une croissance assez constante sur un an. Après le .com (33,8 %), c'est désormais le .de qui est le domaine le plus utilisé (10,5 %), la France n'étant plus désormais qu'à 2,07 % après les .net, .org, .me, .io et .uk.

36

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (36)


Je suis vraiment très content de ce service !



Enfin la possibilité d’avoir des vrais certificats gratuit, avec une installation (sous Debian) vraiment très simple.



Que ça continue !


Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.


C’est vrai, mais ils ont voulu faire une solution clé en main pour que le néophyte puisse installé sans trop de souci.



Après moi j’utilise la config “standard” que j’adapte à mes besoins en amont, mais j’imagine que c’est que le début et que dans le futur on aura plus d’option.



Mais je ne peux pas dire le contraire en tout cas <img data-src=" />


Désolé, je suis un n00b, mais ça fait quoi exactement Let’s encrypt &nbsp;? (chiffrer j’entends bien, mais quoi exactement)








shadowfox a écrit :



Désolé, je suis un n00b, mais ça fait quoi exactement Let’s encrypt &nbsp;? (chiffrer j’entends bien, mais quoi exactement)





Ça délivre gratuitement des certificats SSL valide (et donc reconnu comme tel par les navigateurs), pour faire de l’HTTPS.



Oh mais c’est génial ça ! Merci pour ta réponse.&nbsp;<img data-src=" />


Regarde le client acme-tiny

Moi ça correspond tout à fait à mon besoin


j’ai un site hébergé chez OVH…puis sans rien faire OVH a mis des cetificat SSL Let’s Encrypt (coooool)

depuis tout mes sites sont accessible en https avec le cadenas vert qui va bien



bref https et zéro conf. Merci Let’s Encrypt et Merci OVH (partenaire Gold il me semble)





edit : mise en forme








Altair31 a écrit :



Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.





C’est libre donc tu dois pouvoir facilement cloner les script en question et faire la modif qui va bien pour toi.



Installé sur un serveur dédié avec nginx, ça fonctionne très bien même s’il faut configurer partiellement à la main (mais bon, nginx, c’est tellement simple à configurer !).



Par contre, je tape PA pour que le forum l’ai, il y a une configuration DNS particulière qui empêche que ça fonctionne <img data-src=" />


Pour pinailler, ce sont des certificats TLS. SSL, son prédécesseur est déclaré obsolète et souffre de nombreuses failles de sécurité.


si seulement ca pouvait bouger la sphère de l’internet francais pour avoir de l’ipv6 partout..


Le fait que de plus en plus d’abonnés Orange, le propose va faire bouger les choses. Avec Free et Orange, l’IPv6 devient pertinent pour les sites commerciaux et grands publics.



Je pense que quand Orange aura fini le basculement de ses abonnés, il aura une accélération. Mais il faudrait que Bouygues et SFR se bouge le cul, les petits FAI n’ont pas ce problème.



Enfin, il faudrait surtout que les grands hébergeurs français comme OVH ou Gandhi propose par défaut IPv6 et IPv4 sur les serveurs et les DNS avec possibilité de le désactiver.








seb2411 a écrit :



C’est libre donc tu dois pouvoir facilement cloner les script en question et faire la modif qui va bien pour toi.





Mouais, j’ai pas nécessairement envie de me plonger dans leur code surtout que c’est codé en Python (langage où tu fous tout en vrac dans un fichier de 10000 lignes).

Surtout pour juste préciser où doivent être enregistrés les 4 fichiers de sortie.







PtiDidi a écrit :



Regarde le client acme-tiny

Moi ça correspond tout à fait à mon besoin





Je testerai mais ça à l’air de correspondre à mes besoins. Merci !



C’est déjà le cas depuis longtemps chez OVH…


Pour 2018, Let’s encrypt s’attaquerat-il à DANE ??





On est trolldi <img data-src=" />








Soriatane a écrit :



Pour pinailler, ce sont des certificats TLS. SSL, son prédécesseur est déclaré obsolète et souffre de nombreuses failles de sécurité.





Merci pour la précision&nbsp;<img data-src=" />



Question de noob (flemmard aussi) en tant que professionnel on peut aussi s’en servir pour son entreprise ?








Soriatane a écrit :



Enfin, il faudrait surtout que les grands hébergeurs français comme OVH ou Gandhi propose par défaut IPv6 et IPv4 sur les serveurs et les DNS avec possibilité de le désactiver.





Pour l’IPv6 les deux le proposent (si c’est pas systématique déjà), et pour le IaaS de Gandi tu peux aussi ne pas demander d’IPv4 depuis longtemps (et ça coûte moins cher en faisant ça, les v4 étant facturées contrairement aux v6)



Bonne nouvelle, j’utilisais déjà LetsEncrypt sur mon domaine et sous domaines, mon seul souci étant que ma config https soit configurée sur le port 4443 (ce qui en limite l’accès sur certains hotspots publics), mais bon pas tellement le choix, si je veux accéder au serveur via OpenVPN sur une borne publique, pas d’autre moyen sûr et fonctionnel que de lui réserver le port 443…








Altair31 a écrit :



Mouais, les scripts de génération sont quand même un peu pourris !

Surtout qu’ils veulent absolument faire le café.

Si tu veux gérer toi-même où tu ranges tes certificats, ben tu va te brosser puis tu te fais ton script de déploiement.



Ton “script de déploiement” ?!?

Tu fais un coup de letsencript certonly, tu configures manuellement ton apache pour utiliser ces certificats une fois pour toutes, et puis c’est tout. Un cron qui fait un letsencript renew tous les mois, et c’est bon.

Que veux-tu scripter ?

&nbsp;&nbsp;



Ca c’est pour des cas simples ;)



Si tu ne veux pas exécuter un script pêché sur un répository Git avec les droits root sur une machine de production, c’est pas la même !



Personnellement, j’ai déployé un serveur spécifique pour faire du Let’s Encrypt juste à cause de ça.

Et puis ranger les certificats n’importe où sans vraiment te laisser le choix, je trouve ça hyper naze.


tu peux essayer d’utiliser un multiplexeur pour mettre OpenVPN et https sur le même port :

&nbsp;https://github.com/yrutschle/sslh








Altair31 a écrit :



Ca c’est pour des cas simples ;)



Si tu ne veux pas exécuter un script pêché sur un répository Git avec les droits root sur une machine de production, c’est pas la même !

&nbsp;

Personnellement, j’ai déployé un serveur spécifique pour faire du Let’s Encrypt juste à cause de ça.

Et puis ranger les certificats n’importe où sans vraiment te laisser le choix, je trouve ça hyper naze.



Pas besoin des droits root pour le mode certonly.

Quant à l’endroit où tu ranges les certificats, il suffit que /etc/letsencrypt soit un lien symbolique (ce que je fais).



Merci du partage, je regarderais ça à l’occasion sur mon serveur local pour tester. :)


Tu admettras tout de même que si tu ne sais pas où sont stockés par défaut ces pns de certificats, tu te prends des erreurs si tu n’est pas en root.

Et puis patcher un défaut de conception avec des liens c’est pas mon truc.


Il y a plein d’options :)

&nbsp;

–config-dir, par exemple, qui te permet de définir où sont les configurations. Les certificats sont placés dans un sous répertoire “live” de ce répertoire. La valeur par défaut est “/etc/letsencrypt”.



Sur mes serveurs, Let’s Encrypt a son propre utilisateur, sans aucun droit particulier, et ça fonctionne très bien. Il est installé dans un virtualenv, et peut juste générer ses certificats.



&nbsp;Note, pour le renew : Je préfère l’exécuter chaque jour, plutôt que chaque mois. Quand on a plus de 5 certificats sur le serveur, ça devient vital (limite de certificats émis par semaine) :)

Le client letsencrypt ne va de toutes façons envoyer des requêtes aux serveurs que pour les certificats qui ont moins de 30 jours de validité.








Altair31 a écrit :



Tu admettras tout de même que si tu ne sais pas où sont stockés par défaut ces pns de certificats, tu te prends des erreurs si tu n’est pas en root.

Et puis patcher un défaut de conception avec des liens c’est pas mon truc.





Rien ne t’empêche d’éditer le chemin racine dans le script. Critiquer cette solution uniquement pour ça, c’est léger. On parle pas d’un installeur en binaire là, on parle d’un script dont les sources sont visibles et modifiables.



Pourquoi installer le client Let’s Encrypt dans un virtualenv ?








NeoYoH a écrit :



Je suis vraiment très content de ce service !



Enfin la possibilité d’avoir des vrais certificats gratuit, avec une installation (sous Debian) vraiment très simple.



Que ça continue !





“Vrais” certificats, c’est vite dit. C’est vrai que le certificat est valide, par contre il y a aucun moyen d’être sûr que le site derrière appartient bien au propriétaire du certificat ;)









Nb5 a écrit :



“Vrais” certificats, c’est vite dit. C’est vrai que le certificat est valide, par contre il y a aucun moyen d’être sûr que le site derrière appartient bien au propriétaire du certificat ;)







Oui malheureusement, il y a encore beaucoup de progrès à faire pour que la notion de “cadenas = sécu” disparaisse.

Toute cette “sécurité” repose sur une chaîne de confiance… Il suffit de tomber sur un réseau public un peu menteur qui redirige, en HTTPS avec Saint Cadenas, vers une imitation de site vérolée, et bim. Ou encore de trafic HTTPS redirigé vers du HTTP.



Si Let’s Encrypt est une excellente initiative (je l’utilise personnellement pour mon Owncloud et mes services auto hébergés), il faut espérer qu’il n’y ait pas de détournement malhonnête de ce service.

J’ose espérer qu’il y a un minimum de vérification, probablement à posteriori.



Ben, personnellement, j’ai déjà eu à gérer des migrations de bibliothèques dont les sources avaient été patchées en interne. Je te raconte pas le bordel que c’est.



Donc, pour faire simple, je n’ai ni le temps ni l’envie de faire de patch, et je trouve hallucinant qu’il n’y ai pas une doc CLI digne de ce nom (et ne me parlez pas du –help tout pourri).



Je ne critique en rien l’initiative Let’s Encrypt mais juste le client “officiel” qui semble juste être un script de test qui fait le café plutôt qu’un vrai script pour les clients.


C’est activé par défaut ou bien c’est l’IPv6 est une option que l’on doit volontairement activé?


Ca dépends des offres, ça fait un moment que je ne suis pas allé voir toutefois. A priori sur les VPS OVH/Online l’IPv6 n’est plus dispo :/








Altair31 a écrit :



Donc, pour faire simple, je n’ai ni le temps ni l’envie de faire de patch, et je trouve hallucinant qu’il n’y ai pas une doc CLI digne de ce nom (et ne me parlez pas du –help tout pourri).







https://certbot.eff.org/docs/

https://certbot.eff.org/docs/using.html#command-line-options



Perso j’ai descendu le certificat et configuré mon Apache en 5 minutes avec les trois lignes de commandes fournies dans le getting started.



Bon, j’ai un peu triché, avant j’avais un auto signé donc la config Apache était déjà faite.