Certificat SSL - Let's Encrypt - PlanetHoster

mrMoi

New Member
Bonjour et bravo pour votre soutien à Let's Encrypt!
Et merci de nous permettre de l'utiliser (et pour votre super service)!

Cependant j'ai un soucis avec votre script de génération automatique:
Le certificat est généré avec un autre domaine que le mien... donc génération en erreur et impossible d'en générer un correct .

le site étant NSFW pouvez vous me contacter en MP?

Merci par avance
 

Ghion

New Member
Bonjour,
J'ai un gros soucis, mon site est inaccessible car depuis peu le certificat SSL est périmé.

Demandez dès que possible un certificat de remplacement à l’organisation émettrice (Let's Encrypt).

Un certificat qui demeure actif après sa date d’expiration génère des avertissements de sécurité dans le navigateur Web des utilisateurs.
Mais impossible de le renouveler le certificat je ne vois pas comment faire !!

Merci de votre aide
 

cdsweb

New Member
Bonjour,

J'ai demandé l'activation sur mon nouveau nom de domaine il y a plus de 24h et c'est toujours marqué en cours?

Bien cordialement,
 

dimbyjo

New Member
Bonjour,
Félicitation pour cette belle initiative avec Let's Encrypt.
Par contre , est-ce que ça marche aussi pour les sous domaines ?
Bien cordialement
 
Bonjour,
Mon site n'est plus accessible via https (mydailydriver.fr) car le certificat a expiré. Comment le renouveler ?
Merci pour votre aide
 

PH-Quentin

Administrator
Bonjour,
Mon site n'est plus accessible via https (mydailydriver.fr) car le certificat a expiré. Comment le renouveler ?
Merci pour votre aide
Bonjour RomRom92,

Je viens de regarder dans les logs et voici se que nous pouvons voir:
12:37:02 AM The website “mydailydriver.fr”, owned by “mydakqvm”, has a faulty SSL certificate (OPENSSL_VERIFY:0:10:CERT_HAS_EXPIRED ALMOST_EXPIRED AUTOSSL_READY_FOR_RENEWAL).
12:37:02 AM WARN The domain “mydailydriver.fr” has failed domain control validation (The system failed to fetch the <abbr title="Domain Control Validation">DCV</abbr> file at “<a href="http://mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.rMEHXspXk5T0jZTj.tmp">http://mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.rMEHXspXk5T0jZTj.tmp</a>” because of an error: The system failed to send an <abbr title="Hypertext Transfer Protocol">HTTP</abbr> “GET” request to “http://mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.rMEHXspXk5T0jZTj.tmp” because of an error: SSL connection failed for www.mydailydriver.fr: SSL connect attempt failed error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed .). at bin/autossl_check.pl line 449.

12:37:02 AM WARN The domain “www.mydailydriver.fr” has failed domain control validation (The system failed to fetch the <abbr title="Domain Control Validation">DCV</abbr> file at “<a href="http://www.mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.MxRRRKDYMEkfvt3O.tmp">http://www.mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.MxRRRKDYMEkfvt3O.tmp</a>” because of an error: The system failed to send an <abbr title="Hypertext Transfer Protocol">HTTP</abbr> “GET” request to “http://www.mydailydriver.fr/891674.BIN_AUTOSSL_CHECK_PL__.MxRRRKDYMEkfvt3O.tmp” because of an error: SSL connection failed for www.mydailydriver.fr: SSL connect attempt failed error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed .). at bin/autossl_check.pl line 449.

Ce problème semble venir du fait que vous avez forcé le HTTPS mais qu'hier le certificat n'étant plus valide la requête ACME à échoué.

A ce jour il semble que vous aillez désactiver le forcage sur l'HTTPS cependant voici la nouvelle erreur:

7:39:50 PM Checking websites for “mydakqvm” …
7:39:50 PM The website “mydailydriver.fr”, owned by “mydakqvm”, has a faulty SSL certificate (OPENSSL_VERIFY:0:10:CERT_HAS_EXPIRED ALMOST_EXPIRED AUTOSSL_READY_FOR_RENEWAL).
7:39:51 PM WARN The domain “mydailydriver.fr” has failed domain control validation (The system queried for a temporary file at “<a href="http://mydailydriver.fr/227536.BIN_AUTOSSL_CHECK_PL__.o5tSRobBrsNA5vKt.tmp">http://mydailydriver.fr/227536.BIN_AUTOSSL_CHECK_PL__.o5tSRobBrsNA5vKt.tmp</a>”, but the web server responded with the following error: 404 (Not Found). A <abbr title="Domain Name System">DNS</abbr> or web server misconfiguration may exist.). at bin/autossl_check.pl line 449.
7:39:51 PM WARN The domain “www.mydailydriver.fr” has failed domain control validation (The system queried for a temporary file at “<a href="http://www.mydailydriver.fr/227536.BIN_AUTOSSL_CHECK_PL__.g4YhRwkbRZzkX4ai.tmp">http://www.mydailydriver.fr/227536.BIN_AUTOSSL_CHECK_PL__.g4YhRwkbRZzkX4ai.tmp</a>”, but the web server responded with the following error: 404 (Not Found). A <abbr title="Domain Name System">DNS</abbr> or web server misconfiguration may exist.). at bin/autossl_check.pl line 449.
7:39:51 PM The system has completed the AutoSSL check for “mydakqvm”.
7:39:51 PM The system has finished checking 1 user.
Si vous allez sur http://www.mydailydriver.fr/well-known/acme-challenge, vous allez vous rendre compte que le problème vient du fait que votre CMS prend la main et que la validation ACME ne peut donc malheureusement avoir lieu.

Pourriez-vous SVP regarder à modifier votre fichier .htaccess afin de ne pas prendre la main si le dossier/fichier existe ?

Merci.
 
Bonjour Quentin,

Le site est développé sous CakePHP.
Il y avait déjà eu des problèmes pour la validation du certificat, et j'avais suivi vos recommandations pour la modification du fichier htaccess pour éviter des problèmes lors du renouvellement (https://github.com/cakephp/app/issues/368)

Ci-dessous le contenu du fichier htaccess :

Code:
RewriteEngine On
RewriteRule ^(\.well-known/.*)$ $1 [L]
RewriteCond %{SCRIPT_FILENAME} -d [OR]
RewriteCond %{SCRIPT_FILENAME} -f
RewriteRule "(^|/)\." - [F]

<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteBase /
  RewriteRule    ^$ app/webroot/    [L]
  RewriteRule    (.*) app/webroot/$1 [L]
</IfModule>
Je précise que les dossiers "well-known" et "acme-challenge" n'existent pas sur le serveur.

Merci de votre aide.
 
Bonjour,
D'autres hébergeurs proposent un module cPanel intitulé "Let's Encrypt SSL" qui permet de choisir au cas par cas les domaines pour lesquels créer un certificat Let's Encrypt (dans le cas, bien sûr, où l'on a plusieurs domaines).

Est-ce que PlanetHoster envisage de nous proposer ce module ?

Merci pour toute réponse.
 

PH-Quentin

Administrator
Bonjour Daf,

Effectivement par le passé vous aviez la possibilité de demander un certificat SSL pour un domaine/sous-domaine bien particulier.

Cependant actuellement PlanetHoster à pris la décision de signer par défaut tous les (sous-)domaines du fait que la sécurité ne doit pas être une option activable sur demande!

Si vous avez le moindre problème avec votre domaine/SSL, je vous invite à nous contacter par ticket.
Bien à vous.
 
Bonjour Quentin, et merci pour votre réponse.

Je comprends tout à fait la position de PH de sécuriser par défaut tous les sites. Je remercie d'ailleurs PH de son engagement sur ce dossier, et de la mise à disposition précoce de Let's Encrypt pour ses clients.

Cependant, il serait utile de pouvoir désactiver au cas par cas ce certificat SSL Let's Encrypt par défaut. Pourquoi ? Par exemple : j'ai plusieurs domaines supplémentaires sur mon hébergement, et je constate qu'un certificat Let's Encrypt peut s'appliquer à plusieurs domaines à la fois. Conséquence : le certificat protégeant un (sous-)domaine révèle qu'il protège également un certain nombre d'autres domaines et sous-domaines.

Or il existe des situations où l'on ne veut pas que le visiteur du domaine Bidule.com puisse savoir que le webmestre de Bidule.com est également celui de Truc.fr ou de Machin.ca (ou d'un sous-domaine de ceux-là).

Mais peut-être est-il possible de demander, dans cPanel, qu'un certificat ne s'applique qu'à un seul (sous-)domaine ? Mais je n'ai pas trouvé comment faire.

Par ailleurs, il semble qu'on puisse empêcher l'installation automatique d'un certificat Let's Encrypt en interdisant, par .htaccess, l'accès au répertoire /.well-known. Pouvez-vous me confirmer que cette technique fonctionne ?

Bien à vous.
 

PH-Quentin

Administrator
Bonjour Daf,

Effectivement depuis le passage vers l'activation global des certificats, les demandes sont effectivement faites via des certificats SAN afin de ne pas dépasser le LimitRate instauré par LetsEncrypt. Si vous regardez de très grands acteurs du web tels que CloudFlare font identiquement la même chose; prenons le cas du blogeur Français très impliqué dans la neutralité du WEB à savoir Korben;

Un petit passage sur IntoDNS et vous pourrez voir qu'il utilise le CDN CloudFlare:



Une petite vérification sur SSL Checker et vous pourrez aussi voir les autres domaines signés dans le même SSL:



D'autres grands hébergeurs français (Un assez connu dont je vais taire le nom qui ne fait pas plus de 3 lettres) ou Google font identiquement la même chose afin de ne pas surcharger les serveurs de LetsEncrypt. Il n'y a donc pas de problème à partager votre certificat SSL avec d'autres domaines cela est à vrai dire assez courant !

Après si vous ne voulez vraiment pas du certificat SSL (déconseillé), il est effectivement possible de bloquer la validation ACME qui se fait sur l'URL

http://www.mondomain.net/.well-known/acme-challenge/

Avec ce genre de code dans votre .htaccess:

Code:
<LocationMatch "/.well-known/acme-challenge/*">
    Order Allow,Deny
    Deny from all
</LocationMatch>
Il est sinon possible de bloquer cela par IP comme ceci:
Code:
Order Deny,Allow
Deny from 66.133.109.36
Bien à vous.
 
Dernière édition:
Il n'y a donc pas de problème à partager votre certificat SSL avec d'autres domaines cela est à vrai dire assez courant !
Merci Quentin. Vos arguments sont convaincants. Cependant, dans l'exemple que vous prenez, Korben n'a manifestement rien à voir avec la flopée de domaines inclus dans le certificat... Tandis que, dans mon expérience, il suffit d'avoir comme domaine principal quelque chose comme MonNom.com pour que ce domaine soit largement visible dans les certificats SSL générés automatiquement par le cPanel de PlanetHoster. Un domaine supplémentaire Bidule.com, si l'on inspecte son certificat SSL, aura comme domaines associés MonNom.com, Bidule.MonNom.com, Truc.com (autre domaine supplémentaire), Truc.MonNom.com, et ainsi de suite. Tout cela laisse peu de doute sur l'identité commune du webmestre et/ou du propriétaire de Bidule.com, Truc.com, et tous autres domaines supplémentaires éventuellement protégés chez le registrar par un "whois privé" qui n'a donc plus lieu d'être.

Pour résumer, c'est un problème de divulgation d'informations qui peut constituer un problème pour certains webmestres et/ou propriétaires de domaines.

Bien à vous.
 
Haut