Re: Debian, nginx et Let's Encrypt
Bonjour
Mon Nginx est configuré pur utiliser des certificats dans un sous
dossier de /etc/nginx/. Ces certificats sont simplement des liens
symboliques vers les certificats courants de Let's Encrypt. Ca fait
environ 1 an que ça tourne, et je n'ai jamais eu à redémarrer Nginx.
pour utiliser un certificat réactualisé.
Les certificats sont valables 3 mois, et renouvelables par cron
J'ai utilisé StartSSL pendant un temps, mais je trouve que Let's Encrypt
est plus pratique : une fois configuré, plus besoin d'y toucher. Je
pense que ce choix est plutôt subjectif, et vu l'information partagée
par Safranil, la question a une réponse définitive: StartSSL doit entrer
en liste noire.
Niveau "blindage", j'ai utilisé des outils de test SSL pour optimiser ma
configuration. Le certificat n'est qu'un petit morceau de la sécurité.
Une bonne partie se fait au niveau de la configuration du serveur HTTP.
Par exemple, interdire SSLv3 et TLS < v1.2 ne relève pas du certificat
en lui même.
On 22/02/2017 13:39, andre_debian@numericable.fr wrote:
> On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
>> J'utilise Let's encrypt et nginx.
>> J'ai fait le choix de placer les certificats dans
>> l'arborescence /etc/nginx/ssl
>> Pour utiliser les certificats, j'ai examiné où Let's encrypt
>> maintient le certificat courant, et fait un lien symbolique
>> dessus pour nginx.
>> Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
>> de nginx à faire.
>> J'ai suivi les instructions de cette page pour l'essentiel; mais il est
>> peut être possible de faire plus simple, car Let's encrypt a
>> probablement évolué depuis.
>> https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
> Désolé, je ne réponds pas à la question mais en pose d'autres :
>
> - combien de temps dure un certificat Let's Encrypt ?
>
> - leur certificat est-il assez blindé ?
>
> - est-il plus ou moins judicieux que celui de StartSSL ?
>
> Ça peut intéresser d'autre personnes...
>
> Merci.
>
> André
>
Reply to: