Re: Conseils sur l'utilisation de certificats Letsencrypt

To: ML Debian User French <debian-user-french@lists.debian.org>
Subject: Re: Conseils sur l'utilisation de certificats Letsencrypt
From: Sébastien Dinot <sebastien.dinot@free.fr>
Date: Wed, 25 Nov 2020 18:21:39 +0100
Message-id: <[🔎] 20201125172139.GA26025@hector.home.dinot.net>
In-reply-to: <[🔎] CAPeT9jgE995p5uxGcNkKvX5dfV7_5=pOnUwOANLN+86yk1cB0g@mail.gmail.com>
References: <[🔎] CAPeT9jgE995p5uxGcNkKvX5dfV7_5=pOnUwOANLN+86yk1cB0g@mail.gmail.com>

Olivier a écrit :
> Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous
> les certificats toutes les 12 heures:

Non, il vérifie toutes les 12 heures si ces certificats doivent être
renouvelés. Les certificats générés par Let's Encrypt ont une durée de
validité de 3 mois, mais Certbot les renouvèle au bout de 2 mois (à
moins qu'on ne réduise le paramètre renew_before_expiry et qu'on ramène
le délai par exemple à 7 jours).

> Pourtant lors de sa création, mon certificat est annoncé comme valide
> jusqu'au 2021-02-23

C'est normal pour un certificat créé le 2020-11-23.

> 1. Que pensez-vous de centraliser la gestion des certificats ?

Bof, beaucoup de complications pour rien. Le seul cas de figure où la
chose est intéressante, c'est lorsqu'on veut confier à Let's Encrypt la
création de certificats pour des machines qui ne sont pas exposées (seul
leur nom étant alors publié dans la zone DNS publique). Le « proxy »
public dialogue alors avec les serveurs de Let's Encrypt et un outil
maison distribue ensuite les certificats sur les machines qui en ont
besoin en interne (et bien évidemment, dans ce cas, la résolution DNS
interne ne donne pas le même résultat que la résolution DNS externe).

> 2. Que conseillez-vous pour la fréquence de renouvellement ?

Ils ne sont valides que 3 mois et il me semble inutile de vouloir les
renouveler toutes les semaines. Pour ma part, je ramène juste le délai
de renouvèlement avant échéance de 30 à 7 jours.

> 3. Est-il possible de disposer simultanément d'un certificat wildcard
>    *.mondomaine.tld et d'un autre foo.mondomaine.tld ?

Je n'ai jamais essayé, mais je pense que Certbot braille dans ce cas.

> 4. Quels usages légitimes pour un certificat wildcard, quand on peut
>    créer rapidement un nouveau certificat et qu'on veut pouvoir les
>    répudier au cas par cas ?

Dans les infrastructures cloud élastiques, pour lesquelles on ne connait
pas à l'avance le nombre de serveurs et la ventilation des services.
Mais dans ce cas, on réserve souvent le wildcard à un sous domaine. Par
exemple :

www.domain.tld
gitlab.domain.tld
*.cloud.domain.tld

(et non *.domain.tld)

> 5. Comment sauvegarder la machine avec laquelle on gère ses
>    certificats ?

Comme toute autre machine, en n'oubliant pas de sauvegarder le
répertoire /etc/letsencrypt. ;)

Sébastien


-- 
Sébastien Dinot, sebastien.dinot@free.fr
http://www.palabritudes.net/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

Reply to:

Follow-Ups:
- Re: Conseils sur l'utilisation de certificats Letsencrypt [RESOLU]
  - From: Olivier <oza.4h07@gmail.com>
- Re: Conseils sur l'utilisation de certificats Letsencrypt
  - From: raphael.poitevin@gmail.com (Raphaël POITEVIN)

References:
- Conseils sur l'utilisation de certificats Letsencrypt
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: Re: Conseils sur l'utilisation de certificats Letsencrypt
Next by Date: Re: Conseils sur l'utilisation de certificats Letsencrypt [RESOLU]
Previous by thread: Re: Conseils sur l'utilisation de certificats Letsencrypt
Next by thread: Re: Conseils sur l'utilisation de certificats Letsencrypt [RESOLU]
Index(es):
- Date
- Thread