mardi 19 mars 2019, 10:31:43 CET Bruno Pagani wrote:
Pas sûr de comprendre : quand tu dis qu’il récupère le cert qui va bien, c’est auprès d’une CA ou sur le système de fichiers ? Dans le premier cas, le reverse-proxy en front pourrait laisser le démon récupérer les certificats et s’en servir lui pour terminer le SSL, non (quitte à relayer vers le démon en SSL après si le démon accepte que ça, la sécurité plus faible ne serait plus un problème car en interne). Dans le second cas, je suis pas expert en reverse-proxy, mais je ne vois pas pourquoi ce dernier ne pourrait pas faire le même taf.
Dans le système de fichier, mais c'est pas dans des fichiers plats, c'est genre { "certificate": { "cert": "XXX", "key": "XXX" } }
Donc il charge le certificat et la clé mais à aucun moment ceux-ci ne sont présents en fichiers plats au format habituel.
Mais y a des tickets chez Gitlab pour permettre la customisation SSL du démon, y a qu'à attendre. Pis ça va, c'est un F sur cryptcheck qui note méchamment mais A chez ssllabs, donc c'est pas forcément le truc le plus urgent du monde non plus.