Ollivier Robert 🇺🇦😷🌈
aeris 🏳️🌈@Keltounet StartSSL is revoked from Firefox & Chrome.
https://www.developpez.com/actu/106108/Revocation-des-certificats-WoSign-StartCom-Google-emboite-le-pas-a-Mozilla-et-Apple-et-decide-de-bloquer-ces-certificats-a-partir-de-Chrome-56/
@aeris trust me, I _know_.
@aeris tu fais quoi au fait ? dns-01 ? webroot ?
Julien 🐧@Keltounet @aeris j'ai pris le meme chemin récemment, byebye startssl et bonjour LE :-)
le + simple est le webroot. comme ca ton serveur web n'a pas besonin d'être coupé. ca créée juste un fichier temp.
(par contre si ton site est en https only, c'est une autre histoire... )
le + simple est le webroot. comme ca ton serveur web n'a pas besonin d'être coupé. ca créée juste un fichier temp.
(par contre si ton site est en https only, c'est une autre histoire... )
@Keltounet @Dju Je fais plus simple : un vhost :80 par défaut, qui passe sa vie à rediriger vers :443, sauf pour /.well-known/acme-challenge, qui sert mon webroot.
@aeris @Keltounet voila. par contre chez moi, apres test, le vhost en http se contente de rediriger vers https, et du la requete est refaite en https, et ca roule.
@Dju @Keltounet Oui, mais ça implique d’avoir une règle /.well-known/acme-challenge dans tous tes vhost TLS… Reloutitude…
@Keltounet @aeris c'est juste *très* embêtant si ton vhost est en ssl/443 only (been there, done that :o) sinon ca se fait bien et facilelment (avec certbot sous debian par exemple)
Tzim@tzim @aeris @Keltounet ha oui, z'avez un seule dossier well-known générique, quelque soit le vhost https derriere alors
@Keltounet http-01 avec ma solution à moi (acme-pki)
@aeris @Keltounet ça fait quoi de plus que acme-tiny ?
@tzim @Keltounet Ça gère un petit poil de truc en plus. CSR, HPKP/TLSA, etc. Plus pratique pour du mass-deploy de vhost.
@Keltounet @tzim Moi ? Faire du python ? Non mais tu m’as vu ?
@aeris @Keltounet va vraiment falloir que je me mette à la joaillerie, moi...
Higorineth c'est pas netA chaque renouvellement LE,
(via https://zerossl.com/free-ssl/#crt )
Je dois revalider mes domaines.
Je trouve ça étrange car j'ai défini une clé d’authentification (que j'utilise).
C'est un effet secondaire de zerossl.com ou c'est blindé comme cela dans l'API LE ?
@Keltounet @Dju @_Alain_ LE nécessite une revalidation du domaine à chaque renouvellemement. C'est conçu de base comme ça dans ACME voire carrément CA/B.
Le possesseur du domaine a potentiellement changé depuis la dernière émission, tu dois donc à nouveau prouver que c'est bien à toi.
Le possesseur du domaine a potentiellement changé depuis la dernière émission, tu dois donc à nouveau prouver que c'est bien à toi.
@aeris @Keltounet @Dju
Donc la clé RSA d'authentification sert ... a rien ...
à part me donner de faux espoirs
Donc la clé RSA d'authentification sert ... a rien ...
à part me donner de faux espoirs
@Keltounet @Dju @_Alain_ La clef RSA permet justement de dire que c'est la même personne. Pour la révocation par exemple. Elle ne prouve pas la possession du domaine.
Je ne m'étais pas posé la question de la révocation, en effet.
Juste pour ton info, si besoin.
Je viens de renouveler mes domaines.
J'ai commencé par le faire via l'interface web.
Puis je me suis intéressé à leur outils ligne de commande, et j'en ai profité pour tenter de faire plusieurs de mes domaines dans un seul csr, pour avoir un certificat multi domaines.
A ma grande surprise, je n'ai pas eu besoin de revalider les domaines. La clé permet bien de mémoriser les domaines validés ( sur une courte durée je pense).
et petit truc pour la validation par DNS : penser à supprimer les enregistrements du renouvellements précédents quelques jours AVANT.
La propagation des nouveaux enregistrements est beaucoup plus rapide que la modification d'existants (on passe à travers la TTL des caches je suppose)
dans les deux cas c'est à préparer un peu avant ;-)
k3a@Keltounet I am happy with https://github.com/hlandau/acme it's written in Go so the tool is native binary without dependencies. Haven't had any problems since I switched to it. :)
Mikael Berthe@Keltounet Funny - I had to do the same thing yesterday.
iMil 😈@Keltounet acme.sh is great, simpler to use than the official app yet fully featured, I hope it stays maintained
zuzur@Keltounet same here ;-) not using startssl anymore...
I'm using a rancher letsencrypt container that nicely handles validation and renewal for me...