SlideShare ist ein Scribd-Unternehmen logo

Let's encrypt

C
Cortex Omar

Algiers Meetup - March 26th, 2016 Let's Encrypt, free, automated and open method to set up https certificates on your website and/or webserver.

Software
1 von 26
Downloaden Sie, um offline zu lesen
Let's Encrypt It's free, automated and open Algiers Meetup - Linux, Open Source & Security Omar Reda Allah AKHAM Alger, 26 mars 2016
Salutations! ... !‫عليكم‬ ‫السلم‬ … Hello! [omar@localhost /] # whoami Je suis Omar Reda Allah AKHAM ● IT Manager MEGA Development Five ● Certifié Red Hat RHCSA & LPI Nv1 ● Master Systèmes Informatique Intelligents ● Passionné de Linux, Logiciels libres & Open source
Plan 1 – Introduction 2 – Confiance & Let's Encrypt 3 – ACME : Automatisation 4 – Let's Practice It's free, automated & open 0 Let's Encrypt
Introduction Quels besoins et quels objectifs 1 It's free, automated & open Let's Encrypt
1- Introduction Http Vs Https
1- Introduction Http Vs Https
1- Introduction Cryptage symétrique
1- Introduction Cryptage asymétrique
1- Introduction Certificat SSL
Certificat SSL Signé par une autorité de certification : ● Dépendence d'un tiers (A.C) pour l'obtention du certificat; ● Coût d'obtention élevé; ● Procédure de renouvellement très manuelle; Certificat SSL auto-signé : ● Non réconnu par les naviguateurs (non fiable) 1- Introduction Certificat SSL
1- Introduction Certificat SSL
1- Introduction Let's Encrypt
Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan décident de signer des certificats numériques Rejoins par Cisco, Akamai & “IdenTrust” ISRG→ (Internet Security Research Group) Let's Encrypt signe des certificats pour répondres aux lacunes : ● Gratuité; ● Automatisation; ● Sécurité; ● Transparence 1- Introduction Let's Encrypt
Confiance & Let's Encrypt Let's Encrypt, vous et vos utilisateurs : Une histoire de confiance 2 It's free, automated & open Let's Encrypt
Banques d'autorithés de certification dans les logiciels clients (navigateurs, …) Let's Encrypt à lancer la procédure d'être une Autorité de Certification pour être incluses dans les banques A.C des logiciels clients → La procédure prend BEAUCOUP de temps IdenTrust Propose de signer un Certificat Intermédiaire pour Let's Encrypt afin d'accélérer sa généralisation (19/10/2015) 2- Confiance & Let's Encrypt Confiance Navigateur
Comment Let's Encrypt vous fait confiance ? ● Let's Encrypt à besoin de 2 certitudes : – Possession du domaine – Possession de la clé privée correspondante à la clé publique qui sera certifiée → Procédure automatisée via ACME! 2- Confiance & Let's Encrypt Confiance Domaine
ACME : Automatisation Protocol automatisé de gestion de certificats 3 It's free, automated & open Let's Encrypt
ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numériques Prouvons que nous détenons notre nom de domaine : ● Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz) ● Challenge HTTP : dépôt de ficher signés par Let's Encrypt (http://mondomaine.dz/.well- known/acme-challenge/) 3- ACME : Automatisation Preuve propriété Domaine
Letsencrypt-auto fait le travail pour vous! ● Création de la paire de clés privée/publique ● Génération de la requête CSR ● Vérification des challenges ● Récupération du certificat signé par Let's Encrypt ● Configuration automatique du serveur web (si demandé et si la version de apache est 2.4 3- ACME : Automatisation Obtention des certificats
Let's Practice Passons à la pratique! 4 It's free, automated & open Let's Encrypt
Télécharger Let's Encrypt # apt-get install git # git clone https://github.com/letsencrypt/letsencrypt # cd letsencrypt/ # ./letsencrypt-auto --help 4- Let's Practice Installation & 1ère exécution Installer Configurer Automatiser
Exemple de génération de certificats : # ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –-manual –-agree-tos Réaliser les challenges demandés manuellement 4- Let's Practice Letsencrypt-auto
4- Let's Practice Mise en place du certificat Installation du certificat (Si manuel) : ● Upload via Panel d'hébergement (Cpanel, Plesk, …) Configuration Manuelle de apache (virtualhost) : <VirtualHost *:443> ServerName mondomaine.dz ServerAlias www.mondomaine.dz SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem <VirtualHost>
4- Let's Practice Autorenew Let's Encrypt est en Public BETA Le certificat expire au→ bout de 90 jours! Automatisation de la procédure de renouvellement mensuellement : “CRON” #!/bin/sh cd /root/letsencrypt ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz – manual --agree-tos -renew-by-default /etc/init.d/apache2 restart
1,000,000 De Certificats délivrés en 3 mois!!! (au 8 mars 2016 à 09h04)
Merci pour votre attention! Questions? Contact omar.akham@mdfive.dz

Empfohlen

Nginx
NginxNginx
Nginx
Charef Hamdi
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
Safwane Madjeri
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
Frederic Leger
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
Frederic Leger
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
Presentation
PresentationPresentation
Presentation
Pascal Annen
 
Webperformance #rouendayvous
Webperformance #rouendayvousWebperformance #rouendayvous
Webperformance #rouendayvous
Olivier MARTINEAU
 

Empfohlen

Nginx
NginxNginx
Nginx
Charef Hamdi
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
Safwane Madjeri
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
Frederic Leger
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
Frederic Leger
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
Presentation
PresentationPresentation
Presentation
Pascal Annen
 
Webperformance #rouendayvous
Webperformance #rouendayvousWebperformance #rouendayvous
Webperformance #rouendayvous
Olivier MARTINEAU
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _
Jean-Marc Meessen
 
Zabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructureZabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructure
CERTyou Formation
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
SamiMessaoudi4
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
Ikram Benabdelouahab
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
Alain Ganuchaud
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReTo
guest3be047
 
Trust No 8 / Ne faisez pas confiance à 8
Trust No 8 / Ne faisez pas confiance à 8Trust No 8 / Ne faisez pas confiance à 8
Trust No 8 / Ne faisez pas confiance à 8
KarenBruner
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potential
OVHcloud
 
Hashicorp Vault
Hashicorp VaultHashicorp Vault
Hashicorp Vault
Michée Lengronne
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Microsoft Décideurs IT
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
Sylvie CECI
 
Squid squid guard
Squid squid guardSquid squid guard
Squid squid guard
Fanoela Rajaonarivelo
 
Let's Encrypt!
Let's Encrypt!Let's Encrypt!
Let's Encrypt!
Drew Fustini
 
Lets Encrypt!
Lets Encrypt!Lets Encrypt!
Lets Encrypt!
Joerg Henning
 
«вечна память, вечная скорбь»
«вечна память, вечная скорбь»«вечна память, вечная скорбь»
«вечна память, вечная скорбь»
dashytka
 
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
Журнал о металлопрокате «Сибирское металлоснабжение»
 
Ucuk hocalar
Ucuk hocalarUcuk hocalar
Ucuk hocalar
komikzede
 
Relazione comune Motta d'affermo
Relazione comune Motta d'affermoRelazione comune Motta d'affermo
Relazione comune Motta d'affermo
crisba82
 
Thank God For Kids
Thank God For KidsThank God For Kids
Thank God For Kids
bulldogge
 
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
supott
 
Рекламные возможности FL.ru
Рекламные возможности FL.ruРекламные возможности FL.ru
Рекламные возможности FL.ru
Maxim Rossoshansky
 

Weitere ähnliche Inhalte

Was ist angesagt?

Zabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructureZabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructure
CERTyou Formation
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReTo
guest3be047
 

Was ist angesagt? (13)

Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _
 
Zabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructureZabix formation-zabbix-supervision-d-infrastructure
Zabix formation-zabbix-supervision-d-infrastructure
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReTo
 
Trust No 8 / Ne faisez pas confiance à 8
Trust No 8 / Ne faisez pas confiance à 8Trust No 8 / Ne faisez pas confiance à 8
Trust No 8 / Ne faisez pas confiance à 8
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potential
 
Hashicorp Vault
Hashicorp VaultHashicorp Vault
Hashicorp Vault
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
 
Squid squid guard
Squid squid guardSquid squid guard
Squid squid guard
 

Andere mochten auch

Relazione comune Motta d'affermo
Relazione comune Motta d'affermoRelazione comune Motta d'affermo
Relazione comune Motta d'affermo
crisba82
 
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
supott
 
Рекламные возможности FL.ru
Рекламные возможности FL.ruРекламные возможности FL.ru
Рекламные возможности FL.ru
Maxim Rossoshansky
 
ICT for Education and R&D
ICT for Education and R&DICT for Education and R&D
ICT for Education and R&D
supott
 
2012 6 6_ga_trackrchinaminamoto
2012 6 6_ga_trackrchinaminamoto2012 6 6_ga_trackrchinaminamoto
2012 6 6_ga_trackrchinaminamoto
China Minamoto
 
Oh, It Ain't My Fault: Building Successful Marketing Relationships
Oh, It Ain't My Fault: Building Successful Marketing RelationshipsOh, It Ain't My Fault: Building Successful Marketing Relationships
Oh, It Ain't My Fault: Building Successful Marketing Relationships
Geoff Coats
 
Hallyu darkerkpop
Hallyu darkerkpopHallyu darkerkpop
Hallyu darkerkpop
sardothien
 

Andere mochten auch (20)

Let's Encrypt!
Let's Encrypt!Let's Encrypt!
Let's Encrypt!
 
Lets Encrypt!
Lets Encrypt!Lets Encrypt!
Lets Encrypt!
 
«вечна память, вечная скорбь»
«вечна память, вечная скорбь»«вечна память, вечная скорбь»
«вечна память, вечная скорбь»
 
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
Журнал о металлопрокате Сибирское металлоснабжение №12 (157) 2015
 
Ucuk hocalar
Ucuk hocalarUcuk hocalar
Ucuk hocalar
 
Relazione comune Motta d'affermo
Relazione comune Motta d'affermoRelazione comune Motta d'affermo
Relazione comune Motta d'affermo
 
Thank God For Kids
Thank God For KidsThank God For Kids
Thank God For Kids
 
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
เทคโนโลยี 3 g สู่การพัฒนาท้องถิ่น v2
 
Рекламные возможности FL.ru
Рекламные возможности FL.ruРекламные возможности FL.ru
Рекламные возможности FL.ru
 
ICT for Education and R&D
ICT for Education and R&DICT for Education and R&D
ICT for Education and R&D
 
2012 6 6_ga_trackrchinaminamoto
2012 6 6_ga_trackrchinaminamoto2012 6 6_ga_trackrchinaminamoto
2012 6 6_ga_trackrchinaminamoto
 
CanDoPowerTraining
CanDoPowerTrainingCanDoPowerTraining
CanDoPowerTraining
 
Social Media Measurements
Social Media MeasurementsSocial Media Measurements
Social Media Measurements
 
Osterman Research: The need for third party security, compliance and other ca...
Osterman Research: The need for third party security, compliance and other ca...Osterman Research: The need for third party security, compliance and other ca...
Osterman Research: The need for third party security, compliance and other ca...
 
UrShoe.com
UrShoe.comUrShoe.com
UrShoe.com
 
MVA student and instructor profiles
MVA student and instructor profilesMVA student and instructor profiles
MVA student and instructor profiles
 
網頁設計2.基礎頁面設計
網頁設計2.基礎頁面設計網頁設計2.基礎頁面設計
網頁設計2.基礎頁面設計
 
Oh, It Ain't My Fault: Building Successful Marketing Relationships
Oh, It Ain't My Fault: Building Successful Marketing RelationshipsOh, It Ain't My Fault: Building Successful Marketing Relationships
Oh, It Ain't My Fault: Building Successful Marketing Relationships
 
Green Leaf The Design Studio, Nerul
Green Leaf The Design Studio, NerulGreen Leaf The Design Studio, Nerul
Green Leaf The Design Studio, Nerul
 
Hallyu darkerkpop
Hallyu darkerkpopHallyu darkerkpop
Hallyu darkerkpop
 

Ähnlich wie Let's encrypt

Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
Hackfest Communication
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debian
yahyaf10
 

Ähnlich wie Let's encrypt (20)

Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
SSL strip
SSL stripSSL strip
SSL strip
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Alphorm.com Formation OpenSSL : Cryptage des données
Alphorm.com Formation OpenSSL : Cryptage des donnéesAlphorm.com Formation OpenSSL : Cryptage des données
Alphorm.com Formation OpenSSL : Cryptage des données
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
WordCamp Lille 2018 : Comprendre et utiliser l'API REST de WooCommerce
WordCamp Lille 2018 : Comprendre et utiliser l'API REST de WooCommerceWordCamp Lille 2018 : Comprendre et utiliser l'API REST de WooCommerce
WordCamp Lille 2018 : Comprendre et utiliser l'API REST de WooCommerce
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Cours 8 squid.pdf
Cours 8 squid.pdfCours 8 squid.pdf
Cours 8 squid.pdf
 
securite.ppt
securite.pptsecurite.ppt
securite.ppt
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"Rétro-ingénierie de protocole crypto: Un "starter pack"
Rétro-ingénierie de protocole crypto: Un "starter pack"
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debian
 
Cours si1
Cours si1Cours si1
Cours si1
 

Let's encrypt

  • 1. Let's Encrypt It's free, automated and open Algiers Meetup - Linux, Open Source & Security Omar Reda Allah AKHAM Alger, 26 mars 2016
  • 2. Salutations! ... !‫عليكم‬ ‫السلم‬ … Hello! [omar@localhost /] # whoami Je suis Omar Reda Allah AKHAM ● IT Manager MEGA Development Five ● Certifié Red Hat RHCSA & LPI Nv1 ● Master Systèmes Informatique Intelligents ● Passionné de Linux, Logiciels libres & Open source
  • 3. Plan 1 – Introduction 2 – Confiance & Let's Encrypt 3 – ACME : Automatisation 4 – Let's Practice It's free, automated & open 0 Let's Encrypt
  • 4. Introduction Quels besoins et quels objectifs 1 It's free, automated & open Let's Encrypt
  • 10. Certificat SSL Signé par une autorité de certification : ● Dépendence d'un tiers (A.C) pour l'obtention du certificat; ● Coût d'obtention élevé; ● Procédure de renouvellement très manuelle; Certificat SSL auto-signé : ● Non réconnu par les naviguateurs (non fiable) 1- Introduction Certificat SSL
  • 13. Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan décident de signer des certificats numériques Rejoins par Cisco, Akamai & “IdenTrust” ISRG→ (Internet Security Research Group) Let's Encrypt signe des certificats pour répondres aux lacunes : ● Gratuité; ● Automatisation; ● Sécurité; ● Transparence 1- Introduction Let's Encrypt
  • 14. Confiance & Let's Encrypt Let's Encrypt, vous et vos utilisateurs : Une histoire de confiance 2 It's free, automated & open Let's Encrypt
  • 15. Banques d'autorithés de certification dans les logiciels clients (navigateurs, …) Let's Encrypt à lancer la procédure d'être une Autorité de Certification pour être incluses dans les banques A.C des logiciels clients → La procédure prend BEAUCOUP de temps IdenTrust Propose de signer un Certificat Intermédiaire pour Let's Encrypt afin d'accélérer sa généralisation (19/10/2015) 2- Confiance & Let's Encrypt Confiance Navigateur
  • 16. Comment Let's Encrypt vous fait confiance ? ● Let's Encrypt à besoin de 2 certitudes : – Possession du domaine – Possession de la clé privée correspondante à la clé publique qui sera certifiée → Procédure automatisée via ACME! 2- Confiance & Let's Encrypt Confiance Domaine
  • 17. ACME : Automatisation Protocol automatisé de gestion de certificats 3 It's free, automated & open Let's Encrypt
  • 18. ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numériques Prouvons que nous détenons notre nom de domaine : ● Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz) ● Challenge HTTP : dépôt de ficher signés par Let's Encrypt (http://mondomaine.dz/.well- known/acme-challenge/) 3- ACME : Automatisation Preuve propriété Domaine
  • 19. Letsencrypt-auto fait le travail pour vous! ● Création de la paire de clés privée/publique ● Génération de la requête CSR ● Vérification des challenges ● Récupération du certificat signé par Let's Encrypt ● Configuration automatique du serveur web (si demandé et si la version de apache est 2.4 3- ACME : Automatisation Obtention des certificats
  • 20. Let's Practice Passons à la pratique! 4 It's free, automated & open Let's Encrypt
  • 21. Télécharger Let's Encrypt # apt-get install git # git clone https://github.com/letsencrypt/letsencrypt # cd letsencrypt/ # ./letsencrypt-auto --help 4- Let's Practice Installation & 1ère exécution Installer Configurer Automatiser
  • 22. Exemple de génération de certificats : # ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –-manual –-agree-tos Réaliser les challenges demandés manuellement 4- Let's Practice Letsencrypt-auto
  • 23. 4- Let's Practice Mise en place du certificat Installation du certificat (Si manuel) : ● Upload via Panel d'hébergement (Cpanel, Plesk, …) Configuration Manuelle de apache (virtualhost) : <VirtualHost *:443> ServerName mondomaine.dz ServerAlias www.mondomaine.dz SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem <VirtualHost>
  • 24. 4- Let's Practice Autorenew Let's Encrypt est en Public BETA Le certificat expire au→ bout de 90 jours! Automatisation de la procédure de renouvellement mensuellement : “CRON” #!/bin/sh cd /root/letsencrypt ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz – manual --agree-tos -renew-by-default /etc/init.d/apache2 restart
  • 25. 1,000,000 De Certificats délivrés en 3 mois!!! (au 8 mars 2016 à 09h04)
  • 26. Merci pour votre attention! Questions? Contact omar.akham@mdfive.dz