A mon job-1 j’avais créé un CT dédié à cette tâche et qui allait pousser les certificats à coup de SCP sur les vm, qu’elles soient prod, preprod ou interne. Ainsi même des VM non ouvertes sur internet pouvaient avoir du SSL ce qui est, pour de nombreux services, bien plus pratique :)
Aussi, pas besoin de fait du challenge HTTP -le plus connu-. Perso j’adore le challenge DNS. Au moins pas besoin d’ouvrir des flux vers mes serveurs. Et mon client LE préféré est : getssl —> https://github.com/srvrco/getssl
— Kevin
Le 14 mars 2024 à 19:47, William FERRES via FRsAG frsag@frsag.org a écrit :
Alors, aux dernières nouvelles, Let's Encrypt fournit des API. Nous avons ensuite la liberté d'utiliser le client de notre choix pour communiquer avec.
Il est tout à fait possible d'auditer le code desdits clients vu qu'une grande majorité sont Open Source et disponibles sur GitHub ou autre plateforme.
Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's Encrypt, de faire la génération des certificats ailleurs que sur les machines de production qui les utiliseront. Déporter cette tâche ailleurs est même souvent une plutôt bonne idée. Personnellement, je ne suis pas fan de laisser un accès Internet sortant peu filtré sur des serveurs de production...
Le jeudi 14 mars 2024 à 19:28, Laurent Barme 2551@barme.fr a écrit :
Le 14/03/2024 à 16:37, Pierre-Elliott Bécue a écrit :
Laurent Barme 2551@barme.fr mailto:2551@barme.fr wrote on 14/03/2024 at 13:39:31+0100:
Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit : …
À part sur des équipements sur lesquels tu ne peux pas automatiser la mise à jour des certificats, et sur lesquels la durée de vie de 90 jours est franchement courte et t'oblige à le faire à la main 5 fois par an, je ne vois plus aucun avantage de nos jours à prendre des certificats payants.
…
La mise à jour automatique des certificats LE est un cheval de Troie.
Pas vraiment. Ou alors il va falloir définir ce que tu entends par cheval de Troie.
Tu as raison : c'est potentiellement un cheval de Troie.
Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et cela me gène d'autant plus que cela concerne un sujet critique pour la sécurité et, pour autant que je m'en souvienne, un processus exécuté par root.
On trouve facilement des certificats pour 10 euros et quelques centimes et avec ça on est tranquille pour un an ; pour moi cela vaut le coût.
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/