OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.

Apache disable TLSv1


#21

J'ai mis en place deux types de configurations :

  • une "modern" pour les sites pour lesquels je me fous de rejeter les vieux clients (parce que je sais que je n'en aurai pas sur ces sites)
  • une "intermediate" qui autorise le TLS 1 avec quelques protocoles plus faibles. La configuration proposée par le configurateur Mozilla, malgré les algos "faibles" permet d'obtenir une note A sur SSLLabs.

Dans tous les cas, j'ai du TLS1.2, au moins une note A (en rajoutant le HSTS, j'arrive en A+) tout en permettant d'accepter de "vieux" navigateurs sur les sites pour lesquels je ne peux m'en passer.

Dans mon cas, ça me suffit.


#22

Par contre, un détail, pourquoi ne pas avoir utilisé le client Let's Encrypt intégré à Virtualmin ?


#23

J'ai la réponse dans le test de ssllabs !

Dans "Handshake Simulation" je vois

Android 4.4.2 : OK
Android 5.0.0 : OK
et il y a bien des versions Firefox et Chrome compatible avec mon site en TLSv1.2, aussi bien en XP SP3 que Win7 ...

ok, ça devrait aller.
Les utilisateurs XP et Windows 7, s'ils ont mis leur Windows à jour jusqu'à la fin du support, ça ira.

Ok, tant pis pour les XP qui sont restés uniquement avec MS IE8 sans jamais installer Firefox ou Chrome.

Pour Windows 7, même MS IE11 est compatible TLSv1.2.
Par contre, on largue VISTA !
Les utilisateurs VISTA ne pourront plus se connecter probablement.
Pas grave. Des utilisateurs sont restés en XP... mais pour VISTA, ils se sont tous dépêché de passer à un Windows plus récent.


#24

Bonne question !
J'ai testé, et ça ne m'emballait pas trop.

Il me semble que je n'avais pas la main sur la fréquence de renouvellement.
Moi je teste 2x par semaine.

Je devrais vérifier Virtualmin avec LE.
Quand je l'ai testé, c'était vraiment le début du support Let's Encrypt dans Virtualmin.

Mais, autre raison, une commande d'ajout du genre :

cerbot --apache -d monsite.be -d www.monsite.be -d dev.monsite.misson.ovh

... ça me semble SIMPLE.
Le renew, c'est juste un petit script dans la contrab 2x par semaine.

Tu trouves ça réellement mieux que certbot ?
(pour celui qui aime le ligne de commande évidemment)


#25

En fait, par principe, je souhaite éviter les va-et-vient entre plusieurs interfaces de configuration.
Le client intégré à Virtualmin gère automatiquement les alias des virtual server au lieu de devoir le faire à la main dans la ligne de commande. Du coup, on peut déléguer la gestion des certificats SSL à des utilisateurs rodés à l'utilisation d'un clicodrome.


#26

oui, bonne solution !
Mais ici, c'est moi qui fait toute cette config Proxmox ou VPS, Ubuntu, LE, Virtualmin ...

Mais je devrais réessayer de gérer Let's Encrypt via Virtualmin.


#27

Pas exactement !
Si je bloque TLSv1 et TLSv1.1, les Android 4.4.x ne sont pas compatibles par défaut avec TLSv1.2

https://qsportal.atlassian.net/wiki/spaces/DOC/pages/3571715/TLSv1.2+Browser+Compatibility

Android 4.4 (KitKat) to 4.4.4 : Capable, but not by default.

ça va probablement bloquer des anciennes tablettes.
On vend encore des tablettes en 4.4.x ... c'est délirant.

à réfléchir.


#28

Voici ce qui me bloquait dans la gestion de certificats Let's Encrypt dans Virtualmin :

Months between automatic renewal Only renew manually 2

Je n'ai le choix que de vérifier 1x par mois ?
Puisque le minimum est 1 mois entre les renouvellements automatiques ?

(ou je n'ai rien compris...)

Autre point, de toute façon je modifie mes VirtualHost pour rediriger :

http --> https
www.monsite.be --> monsite.be

et ça, je n'ai pas trouvé de moyen simple dans la config LE dans Virtualmin !

alors ? ... de toute façon je dois aller modifier mes VirtualHost Apache...


#29

Si tu réclames trop souvent de nouveaux certificats à Let's Encrypt dans un court laps de temps, tu peux te faire blacklister. Bon, à un certificat par semaine, t'es tranquille ;-)
Les certificats sont valables trois mois. Tu peux les renouveler à partir du dernier mois.
Si le renouvèlement échoue, Virtualmin retentera le jour suivant (vu que le certificat est à renouveler)

Virtualmin va demander un certificat pour l'ensemble des alias et prendre en compte notamment site.fr et www.site.fr ;-) Donc, en fait, au moment où tes visiteurs voudront aller sur ton site, ils auront de toute façon un certificat SSL valide en face. Ensuite, tu n'as que des règles de réécriture à gérer au niveau de ton site, les erreurs de certificat SSL en moins à gérer.

Un seul point pour configurer les certificats SSL, une seule source de défaillance.


#30

mon script de renouvellement des certificats Let's Encrypt tourne 2x par semaine... ça ne pose pas de problème.
Mais ok, je vais réessayer de les générer avec Virtualmin.
ça limitera fortement le nombre d'essais, et donc la charge occasionnée chez LE.

Je suppose donc que Let's Encrypt à aussi un script en crontab qui tourne tous les jours, mais qui ne fait les demandes QUE des certificats à renouveler à moins de 30 jours de la date d'expiration ?


#31

Let's Encrypt ne renouvèle que les certificats qu'on lui demande de renouveler, au moment de la demande de renouvèlement.


#32

ce qui est mieux : pas de demandes de renouvellement de certificats inutiles à Let's Encrypt.
Merci du conseil.
Je vais retester la génération des certificats L.E. avec Virtualmin.