Sur la route du tant convoit\u00e9 HTTPS, nous allons maintenant nous faire certifier. Si vous \u00eates pass\u00e9s par un site payant ou DNSExit pour obtenir votre domaine, sachez que ces sites peuvent vous proposer des certificats tout faits. Oui, mais attends, tu dis qu’on fait \u00e7a nous-m\u00eames, alors quelle est la valeur de ces certificats?<\/em><\/p>\n\n\n\n Tr\u00e8s juste, Auguste, mais Certbot obtient des certificats sign\u00e9s aupr\u00e8s d’une autorit\u00e9 reconnue<\/strong>, il n’autosigne pas<\/strong> les certificats, et la diff\u00e9rence est cruciale.<\/p>\n\n\n\n Les choses ont bien chang\u00e9 depuis mes premi\u00e8res tentatives de HTTPS, merci donc \u00e0 cet excellent tuto<\/a> pour la simplicit\u00e9 de la m\u00e9thode (de mon temps, il fallait toucher \u00e0 la config du site dans nginx pour que les challenges n\u00e9cessaires \u00e0 la cr\u00e9ation des certifs fonctionnent…).<\/p>\n\n\n\n Lorsque vous en serez \u00e0 Modifiez votre virtual host<\/em> en fonction de votre serveur Nginx<\/em> ou Apache<\/em><\/strong>, revenez ici \ud83d\ude42<\/p>\n\n\n\n Nous avons donc notre certificat en poche (\u00e7a a fonctionn\u00e9 du premier coup en suivant pas \u00e0 pas son tuto, dans mon cas)<\/em>, il va donc falloir modifier notre descripteur de site en cons\u00e9quence.<\/p>\n\n\n\n Nous allons cr\u00e9er un deuxi\u00e8me bloc server {} qui ne va contenir que la redirection en HTTPS. Pourquoi? Parce que tous les navigateurs, selon leurs r\u00e9glages, n’interrogent pas d’abord sur le port 443<\/strong> (SSL, donc s\u00e9curis\u00e9, donc bien)<\/em>, mais sur le port 80<\/strong> (celui que nous avons utilis\u00e9 jusqu’\u00e0 pr\u00e9sent, qui est le port HTTP, et pas HTTPS). Au terme de la modification du descripteur, comme d’habitude, proc\u00e9dez \u00e0 un petit :<\/p>\n\n\n\n Et s’il n’y a pas de rat\u00e9, tout devrait se passer comme sur des roulettes! Vous devriez maintenant pouvoir acc\u00e9der \u00e0 votre site depuis l’ext\u00e9rieur, avec un nom de domaine (aussi glorieux – ou non – qu’il puisse \u00eatre)<\/em> ET le tout avec le petit cadenas du HTTPS! Elle est pas belle, la vie ?<\/p>\n\n\n\n Ceci fait, n’oubliez pas de proc\u00e9der \u00e0 l’ouverture du port 443 au m\u00eame titre que vous l’avez fait pour le port 80 (durant cette partie du tuto<\/a>)!<\/strong><\/p>\n\n\n\n Les certificats \u00e9mis par Certbot sont renouvelables une fois par mois pour un domaine. Le planificateur de t\u00e2ches s’appelle Cron et la commande crontab -e<\/strong> (sans sudo devant!!)<\/em> permet d’\u00e9diter le planificateur pour l’utilisateur courant.
Je vais l\u00e0 encore suivre des tutoriels, mais sachez qu’il existe des certificats autosign\u00e9s <\/strong>et des certificats sign\u00e9s par une autorit\u00e9 reconnue<\/strong>.
Il va sans dire que les premiers sont beaucoup moins consid\u00e9r\u00e9s comme valides, l\u00e0 o\u00f9 les deuxi\u00e8mes sont le standard de fait (quelle est la valeur de la certification si tout le monde peut la faire, s’pas?)<\/em>.<\/p>\n\n\n\n
Nous, comme on mange des gu\u00eapes frites dans l’huile de bo\u00eete de vitesses, on va faire \u00e7a \u00e0 l’ancienne avec l’ami Certbot.<\/p>\n\n\n\nConfiguration SSL dans nginx<\/h3>\n\n\n\n
sudo nano \/etc\/nginx\/sites-available\/monsite<\/pre>\n\n\n\n
L’id\u00e9e va donc \u00eatre d’accepter les communications sur port 80, mais seulement pour les renvoyer vers le port 443<\/strong>, en mode beau gosse. Vous allez voir, \u00e7a se fait comme qui rigole. Voici notre descripteur de site avec ses modifs en gras :<\/p>\n\n\n\nserver {\n listen 80;\n listen [::]:80;\n server_name domaine.com www.domaine.com;\n # Renvoi vers le port 443\n location \/ {\n return 301 https:\/\/$server_name$request_uri;\n }\n}\nserver {\n listen 443 ssl;\n listen [::]:443 ssl;\n server_name domaine.com www.domaine.com;\n index index.php index.html;\n root \/var\/www\/html;\n access_log \/var\/www\/logs\/access.log;\n error_log \/var\/www\/logs\/error.log;\n # En avant pour SSL :)\n ssl_certificate \/etc\/letsencrypt\/live\/domaine.com\/fullchain.pem;\n ssl_certificate_key \/etc\/letsencrypt\/live\/domaine.com\/privkey.pem;\n ssl_trusted_certificate \/etc\/letsencrypt\/live\/domaine.com\/chain.pem;\n ssl_protocols TLSv1 TLSv1.1 TLSv1.2;\n ssl_prefer_server_ciphers on;\n ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;\n ssl_ecdh_curve secp384r1;\n ssl_session_cache shared:SSL:4m;\n ssl_session_timeout 1440m;\n ssl_stapling on;\n ssl_stapling_verify on;\n resolver 8.8.8.8 8.8.4.4;\n add_header Strict-Transport-Security max-age=31536000;\n # Hop fini !<\/strong>\n open_file_cache max=1000 inactive=20s;\n open_file_cache_valid 30s;\n open_file_cache_min_uses 2;\n open_file_cache_errors on;\n set $cache_uri $request_uri;\n # POST requests and urls with a query string should always go to PHP\n if ($request_method = POST) {\n set $cache_uri 'null cache';\n }\n if ($query_string != \"\") {\n set $cache_uri 'null cache';\n }\n # Don't cache uris containing the following segments\n if ($request_uri ~* \"(\/wp-admin\/|\/xmlrpc.php|\/wp-(app|cron|login|register|mail).php|wp-..php|\/feed\/|index.php|wp-comments-popup.php|wp-links-opml.php|wp-locations.php|sitemap(index)?.xml|[a-z0-9-]+-sitemap([0-9]+)?.xml)\") {\n set $cache_uri 'null cache';\n }\n # Don't use the cache for logged in users or recent commenters\n if ($http_cookie ~<\/em> \"comment_author|wordpress_[a-f0-9]+|wp-postpass|wordpress_logged_in\") {\n set $cache_uri 'null cache';\n }\n include \/etc\/nginx\/fcgiwrap.conf;\n location \/ {\n try_files $uri $uri\/ \/index.php?$args;\n }\n location ~ .php$ {\n # FASTCGI CACHE\n set $skip_cache 1;\n if ($cache_uri != \"null cache\") {\n add_header X-Cache-Debug \"$cache_uri $cookie_nocache $arg_nocache$arg_comment $http_pragma $http_authorization\";\n set $skip_cache 0;\n }\n fastcgi_cache_bypass $skip_cache;\n fastcgi_cache microcache;\n fastcgi_cache_key $scheme$host$request_uri$request_method;\n fastcgi_cache_valid any 8m;\n fastcgi_cache_use_stale updating;\n fastcgi_cache_bypass $http_pragma;\n fastcgi_cache_use_stale updating error timeout invalid_header http_500;\n # \/FASTCGI CACHE\n fastcgi_pass unix:\/var\/run\/php\/php7.0-fpm.sock;\n # fastcgi_pass 127.0.0.1:9000;\n fastcgi_split_path_info ^(.+.php)(\/.+)$;\n fastcgi_index index.php;\n include fastcgi_params;\n fastcgi_param SCRIPT_FILENAME $document_root\/$fastcgi_script_name;\n fastcgi_read_timeout 300;\n }\n}<\/pre>\n\n\n\nsudo service nginx reload<\/pre>\n\n\n\n
Renouvellement et mot de la fin<\/h3>\n\n\n\n
Attendu que ces certificats ont une validit\u00e9 (90 jours)<\/em>, il faut donc les renouveler.
Fort heureusement, Certbot dispose d’une commande pour ne faire que \u00e7a, et comme Linux est un syst\u00e8me qu’il est fort bien, il dispose d’un planificateur de t\u00e2che qui fait peur de prime abord, mais qui fait le caf\u00e9 quand on l’a un peu apprivois\u00e9.
Je ne vais pas me creuser la soupi\u00e8re tout en sachant que le m\u00eame tuto (celui-ci<\/a>, partie 4) le traite.<\/p>\n\n\n\n
Cependant, comme nous allons utiliser Certbot qui a besoin des autorisation root<\/strong>, nous allons utiliser :<\/p>\n\n\n\nsudo crontab -e<\/pre>\n\n\n\n