💾 Archived View for thasmanie.fr › ca-perso-ou-letsencrypt.gmi captured on 2022-04-29 at 12:23:39. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2021-12-17)

-=-=-=-=-=-=-

Autohébèrgement : CA perso ou LetsEncrypt

2020-08-15

retour

Pourquoi cette question ?

Et pourquoi commencer à répondre à une question par une question ?

Bon j'arrête.

En fait tout commence à la sortie de [Letsencrypt](https://en.wikipedia.org/wiki/Let's_Encrypt), ça fait un moment que je suis auto-hébergé, avec mon autorité de certification perso.

Un pote avec qui je parle pas mal d'auto-hébergement me vante les mérite du truc, et me vanne car quand je lui partage un lien de chez moi, il se choppe une alerte sur le certificat, je lui réplique qu'il peut installer ma CA root et il sera tranquille.

Je me suis quand même posé la question de la migration de mes services sur des certificats Letsencrypt.

Ok, mais avec une échappatoire.

Et si Letsencrypt ferme du jour au lendemain ? Et si Letsencrypt donnait son certificat racine à l'état ? Ou se faisait pirater ?

Je préfère continuer à utiliser ma propre CA, avec ces certificats serveurs et client que je gère tout seul, bien au chaud dans un coin.

Maintenant, vous remarquerez sûrement que le certificat de ce blog est signé par Letsencrypt :) (en tout cas à l'heure où j'écris cet article)

Et oui ben je pense à vous, je reconnais que passer en https, sans warning, et sans payer, c'est un confort pour les clients.

Maintenant, si demain Letsencrypt ferme, je n'ai qu'une seule ligne à décommenter pour revenir à un certificat perso.

Réponse ?

Utilisez-le, c'est toujours plus propre que du http, ou un warning, mais prévoyez !

Il faut absolument pouvoir s'en passer : si demain LetsEncrypt est blacklisté, vous risquez d'avoir des erreurs dans tous les sens.

Tips : notez que firefox (je ne connais que ce navigateur) garde un cache des certificats ssl, donc si vous mettez à jour un certif, il faudra aller trifouiller dans votre profile firefox, un fichier type `cert9.db` (c'est du sqlite, de mémoire), ou le supprimer complètement, merci swiip ! Note : on dirait que ce n'est plus le cas, un reload de la page fonctionne bien now :)

https://duckduckgo.com/?q=firefox+cert9.db&t=ffab&ia=web

Comment faire ?

Je ne vais pas détailler la façon de mettre en place tout ça, des milliers de docs existent déjà.

Juste quelques liens :

https://ssl-config.mozilla.org/

https://letsencrypt.org/

https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/

Perso, j'utilise la validation par dns, sur un wildcard.