Bonjour à tous,
Je vais mettre en place des certificats commerciaux pour tous mes serveurs où c'est nécessaire, mais j'utilise deux racines différentes :
- *.domain.com pour ce qui est accessible depuis l’extérieur (domaine acheté chez un registrar) - *.ad.domain.com pour tout ce qui est interne (domaine géré par mon contrôleur de domaine)
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Autre question, pourquoi un tel écart de prix entre certains revendeurs de certificats ? L'assurance peut être ?
Merci.
SylvainH
Pour le domaine AD interne, une autorité de certificats (PKI) privée, intégrée au domaine, suffit. Et c'est gratuit.
Le 31 mars 2016 à 18:48, Sylvain Nex sylvain.nexv@gmail.com a écrit :
Bonjour à tous,
Je vais mettre en place des certificats commerciaux pour tous mes serveurs où c'est nécessaire, mais j'utilise deux racines différentes :
- *.domain.com pour ce qui est accessible depuis l’extérieur (domaine acheté chez un registrar)
- *.ad.domain.com pour tout ce qui est interne (domaine géré par mon contrôleur de domaine)
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Autre question, pourquoi un tel écart de prix entre certains revendeurs de certificats ? L'assurance peut être ?
Merci.
SylvainH
Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
Le 31/03/2016 18:48, Sylvain Nex a écrit :
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Oui.
Autre question, pourquoi un tel écart de prix entre certains revendeurs de certificats ? L'assurance peut être ?
Y'a déjà qq1 qui ait fait jouer ces assurances ? :) La différence de prix, je dirais que c'est essentiellement la notoriété, le support, le nombre de clients supportés, les éventuels services associés "offerts". Tout cela reste un peu le jeu du Bandit Manchot !...
a+
Bonsoirs, Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Cordialement, Julius
On Mar 31, 2016, at 18:42, Olivier Le Cam olc@glou.fr wrote:
Bonsoir,
Le 31/03/2016 18:48, Sylvain Nex a écrit :
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Oui.
Autre question, pourquoi un tel écart de prix entre certains revendeurs de certificats ? L'assurance peut être ?
Y'a déjà qq1 qui ait fait jouer ces assurances ? :) La différence de prix, je dirais que c'est essentiellement la notoriété, le support, le nombre de clients supportés, les éventuels services associés "offerts". Tout cela reste un peu le jeu du Bandit Manchot !...
a+
Olivier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
Le 31/03/2016 20:11, Tnjulius a écrit :
Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Mais elle ne gère pas les wildcards ;-)
Le 31/03/2016 21:04, Benjamin Boudoir a écrit :
Bonsoir,
Le 31/03/2016 20:11, Tnjulius a écrit :
Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Mais elle ne gère pas les wildcards ;-)
certes mais tu peux déclarer n domaines dans un certificat (SNA)
letsencrypt certonly --webroot -w /srv/web/domaine.tld/www/ -d domaine.tld -d www.domaine.tld -w /srv/web/domaine.tld/sousdomaine/ -d sousdomaine.domaine.tld -w /srv/web/domaine.tld/sousdomaine2/ -d sousdomaine2.domaine.tld ...
Tu peux aussi automatiser ton process pour avoir un certificat automatiquement lors de la création d'un vhost...
Cela permet donc de faire du wildcard à moindre frais :)
Nicolas
Le jeudi 31 mars 2016, 22:28:38 Nicolas Steinmetz a écrit :
certes mais tu peux déclarer n domaines dans un certificat (SNA)
Effectivement ;-)
Tu peux aussi automatiser ton process pour avoir un certificat automatiquement lors de la création d'un vhost...
Cela permet donc de faire du wildcard à moindre frais :)
Ça dépend de ses besoins. Faut pas oublier que tu as aussi un nombre limité de certificats avec Let's Encrypt et que si, par exemple, il a besoin de générer des sous-domaines très régulièrement, ça peut poser problème.
(du coup, on doit avoir fait le tour des pours et des contres de LE)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 01/04/2016 09:30, Denis Fondras wrote:
(du coup, on doit avoir fait le tour des pours et des contres de LE)
Et le renouvellement tous les 90 jours ? C'est mon "no-go".
De fait c'est pénible, mais la possibilité de programmer le renouvellement en crontab compense presque ce défaut. Faut surveiller tout de même, mais on a des notifications par email quand un certif menace d'expirer.
Sur Gixe on a intégré la génération et le renouvellement dans un module puppet, ça c'est pas fait tout seul mais ça semble rouler finalement avec seulement 3 ko de template/manifest. Du coup, bye bye cacert.
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Cdlt,
Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 01/04/2016 09:30, Denis Fondras wrote:
(du coup, on doit avoir fait le tour des pours et des contres de LE)
Et le renouvellement tous les 90 jours ? C'est mon "no-go".
De fait c'est pénible, mais la possibilité de programmer le renouvellement en crontab compense presque ce défaut. Faut surveiller tout de même, mais on a des notifications par email quand un certif menace d'expirer.
Sur Gixe on a intégré la génération et le renouvellement dans un module puppet, ça c'est pas fait tout seul mais ça semble rouler finalement avec seulement 3 ko de template/manifest. Du coup, bye bye cacert.
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Cdlt, -----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlb+KcoACgkQJBGsD8mtnRGRXgEArb7jBMIz3efWV7hwlMnhqJYK FqV2IGLbHORi16KOpGMA/3lbPjnMLkF0Rh9I5YALH4G0jxbimuZqDW5VzzJ+jbZx =UrQN -----END PGP SIGNATURE----- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Jour,
On Fri, Apr 01, 2016 at 10:02:22AM +0200, Fonteneau Simon wrote:
Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Ou alors --webroot --webroot-path /path/to/htdocs
Ou alors un proxy HTTP qui matche /.well-known/acme-challenge/ avec la méthode http-01 pour l'envoyer sur le container de validation.
Ou alors un proxy TLS pass-through qui matche sur le label SNI avec la méthode tls-01 pour l'envoyer sur le container de validation. (hint: haproxy[1]).
Ou alors en utilisant la méthode dns-01 avec /usr/bin/nsupdate, ce qui marche très bien avec certains des clients non-officiels.
Les possibilités ne manquent pas :-)
Sylvain
[1] http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-n...
Salut
StartSSL est aussi intéressant (moins à mon avis avec l'arrivée de letsencrypt) qui gére bien le SNI et le multiwildcard. Le prix est tout à fait honnête. Comme c'est basé sur la validation de la personne et non de chaque domaine, le prix reste stable. Le truc à prendre en compte c'est de générer le wildcard du premier coup, si on se rate faut payer pour revoquer le certificats en erreurs.
Km
Bonsoir Benjamin, Et bonsoir la liste (toujours très intéressant de vous lire :-) avec FRnog également, merci à vous ! ),
Tu as http://www.cacert.org aussi.
Gratuit et "open" (fonction de la définition personnelle de chacun ; attention aux trolls bien velus et dodus du vendredi ;-) ).
Tu intègres leur certificat racine "et hop" ;-) yapluka :-) Tools pour Windows, Unices, Mac...
Bref, en fouillant le site, (de mémoire) il y a possibilité de participer à des "signing party" ou qqc comme ça.
Le seul hic je crois (à ma dernière visite) c'est qu'il n'est pas encore intégré worldwide en natif dans tous les navigateurs.... Forcément ... !
Je n'ai pas été faire un tour complet récemment sur le site pour te le confirmer, et CACert est encore dans ma todo-list :-( les journées n'ont que 24h ;-(
Bien cordialement. Jean-Christophe
Message envoyé depuis un terminal embarqué / Message sent from an embedded terminal.
Le 31 mars 2016 à 21:04, Benjamin Boudoir benjamin+frsag@boudoir.name a écrit :
Bonsoir,
Le 31/03/2016 20:11, Tnjulius a écrit :
Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Mais elle ne gère pas les wildcards ;-)
-- Benjamin Boudoir _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Update : http://wiki.cacert.org/ActiveDirectory :-) Elle est pas belle la vie :-) Et encore plein de howtos sur le Wiki .... (MS Exchange 2010, openOffice, Android, ....)
Message envoyé depuis un terminal embarqué / Message sent from an embedded terminal.
Le 1 avr. 2016 à 00:42, JANCZAK Jean-Christophe jc.janczak@yahoo.fr a écrit :
Bonsoir Benjamin, Et bonsoir la liste (toujours très intéressant de vous lire :-) avec FRnog également, merci à vous ! ),
Tu as http://www.cacert.org aussi.
Gratuit et "open" (fonction de la définition personnelle de chacun ; attention aux trolls bien velus et dodus du vendredi ;-) ).
Tu intègres leur certificat racine "et hop" ;-) yapluka :-) Tools pour Windows, Unices, Mac...
Bref, en fouillant le site, (de mémoire) il y a possibilité de participer à des "signing party" ou qqc comme ça.
Le seul hic je crois (à ma dernière visite) c'est qu'il n'est pas encore intégré worldwide en natif dans tous les navigateurs.... Forcément ... !
Je n'ai pas été faire un tour complet récemment sur le site pour te le confirmer, et CACert est encore dans ma todo-list :-( les journées n'ont que 24h ;-(
Bien cordialement. Jean-Christophe
Message envoyé depuis un terminal embarqué / Message sent from an embedded terminal.
Le 31 mars 2016 à 21:04, Benjamin Boudoir benjamin+frsag@boudoir.name a écrit :
Bonsoir,
Le 31/03/2016 20:11, Tnjulius a écrit :
Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Mais elle ne gère pas les wildcards ;-)
-- Benjamin Boudoir _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 31/03/2016 20:11, Tnjulius a écrit :
Bonsoirs, Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Cordialement, Julius
Bonjour,
Avec letsencrypt, il faut bien avoir en tête que :
Disclaimer
The Let’s Encrypt Client is BETA SOFTWARE. It contains plenty of bugs and rough edges, and should be tested thoroughly in staging environments before use on production systems.
Merci à tous pour ces informations.
Je pense que je vais m'orienter sur une autorité de certification locale pour mon domaine interne avec soit OpenSSL, soit utiliser GnoMint ( http://gnomint.sourceforge.net/).
Et pour mon nom de domaine externe, Let's Encrypt pourrait convenir, sinon j'acheterai ce qu'il faut. J'utilisais dans le passé ceux de RapidSSL, qui ne sont pas cher du tout.
SylvainH
Le 1 avril 2016 à 11:59, cyp cyp@rouquin.me a écrit :
Le 31/03/2016 20:11, Tnjulius a écrit :
Bonsoirs, Juste en passant il existe une autorité gratuite https://letsencrypt.org;
projet portée par la "Linux Foundation"
Cordialement, Julius
Bonjour,
Avec letsencrypt, il faut bien avoir en tête que :
Disclaimer
The Let’s Encrypt Client is BETA SOFTWARE. It contains plenty of bugs and rough edges, and should be tested thoroughly in staging environments before use on production systems.
http://letsencrypt.readthedocs.org/en/latest/intro.html _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Gandi n’est pas cher non plus.
Cordialement,
De: Sylvain Nex sylvain.nexv@gmail.com Répondre: Sylvain Nex sylvain.nexv@gmail.com Date: 1 avril 2016 at 16:22:43 À: cyp cyp@rouquin.me Cc: frsag@frsag.org frsag@frsag.org Sujet: Re: [FRsAG] Choix du certificat
Merci à tous pour ces informations.
Je pense que je vais m'orienter sur une autorité de certification locale pour mon domaine interne avec soit OpenSSL, soit utiliser GnoMint (http://gnomint.sourceforge.net/).
Et pour mon nom de domaine externe, Let's Encrypt pourrait convenir, sinon j'acheterai ce qu'il faut. J'utilisais dans le passé ceux de RapidSSL, qui ne sont pas cher du tout.
SylvainH
Le 1 avril 2016 à 11:59, cyp cyp@rouquin.me a écrit : Le 31/03/2016 20:11, Tnjulius a écrit :
Bonsoirs, Juste en passant il existe une autorité gratuite https://letsencrypt.org; projet portée par la "Linux Foundation"
Cordialement, Julius
Bonjour,
Avec letsencrypt, il faut bien avoir en tête que :
Disclaimer
The Let’s Encrypt Client is BETA SOFTWARE. It contains plenty of bugs and rough edges, and should be tested thoroughly in staging environments before use on production systems.
http://letsencrypt.readthedocs.org/en/latest/intro.html _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 2016-04-01 16:24, Gpkfr a écrit :
Gandi n’est pas cher non plus.
Hello,
Et avec l'outil en ligne de commande, c'est assez pratique:
$ gandi certificate create --cn "domain.tld" --altnames "host1.domain.tld" --altnames "host2.domain.tld"
Voir https://github.com/gandi/gandi.cli#creating-a-ssl-certificate
-- aegiap
Bonsoir,
Le jeudi 31 mars 2016, 18:48:34 Sylvain Nex a écrit :
- *.domain.com pour ce qui est accessible depuis l’extérieur (domaine
acheté chez un registrar)
- *.ad.domain.com pour tout ce qui est interne (domaine géré par mon
contrôleur de domaine)
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Oui. Les wildcards ne sont pas récursifs : ils valent uniquement sur un seul niveau.
Il existe des wildcards pour 2 et 3 domaines. Tu pourras donc, sur un seul certificat, avoir *.domain.com, *.ad.domain.com et encore un autre suivant ton choix.
Ex pour 2 domaines : https://cheapsslsecurity.com/comodo/positivemultidomain-wildcardssl.html
Guillaume Hilt
Le 31/03/2016 18:48, Sylvain Nex a écrit :
Bonjour à tous,
Je vais mettre en place des certificats commerciaux pour tous mes serveurs où c'est nécessaire, mais j'utilise deux racines différentes :
- *.domain.com http://domain.com pour ce qui est accessible depuis
l’extérieur (domaine acheté chez un registrar)
- *.ad.domain.com http://ad.domain.com pour tout ce qui est interne
(domaine géré par mon contrôleur de domaine)
Je suis donc obligé de prendre 2 certificats wildcard différents ?
Autre question, pourquoi un tel écart de prix entre certains revendeurs de certificats ? L'assurance peut être ?
Merci.
SylvainH
Liste de diffusion du FRsAG http://www.frsag.org/
Le Thu, Mar 31, 2016 at 10:14:04PM +0200, Guillaume Hilt a écrit:
Il existe des wildcards pour 2 et 3 domaines. Tu pourras donc, sur un seul certificat, avoir *.domain.com, *.ad.domain.com et encore un autre suivant ton choix.
Ex pour 2 domaines : https://cheapsslsecurity.com/comodo/positivemultidomain-wildcardssl.html
Perso j'utilise ça:
https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx
Sur des Comodo PositiveSSL (pas de wildcard multi par contre).
Prix honnêtes à mon goût, support très réactif (marche très bien par chat), révocations et reissue gratuites.
Arnaud.
-
aegiap -
Arnaud Launay -
Benjamin Boudoir -
cam.lafit@azerttyu.net -
cyp -
Denis Fondras -
Fonteneau Simon -
Gpkfr -
Guillaume Hilt -
Guillaume Tournat -
JANCZAK Jean-Christophe -
Nicolas Steinmetz -
Olivier Le Cam -
Sylvain Nex -
Sylvain Rochet -
Sylvain Vallerot -
Tnjulius