1. Let's Encrypt
It's free, automated and open
Algiers Meetup - Linux, Open Source & Security
Omar Reda Allah AKHAM
Alger, 26 mars 2016
2. Salutations! ... !عليكم السلم … Hello!
[omar@localhost /] # whoami
Je suis Omar Reda Allah AKHAM
●
IT Manager MEGA Development Five
●
Certifié Red Hat RHCSA & LPI Nv1
●
Master Systèmes Informatique Intelligents
●
Passionné de Linux, Logiciels libres & Open
source
3. Plan
1 – Introduction
2 – Confiance & Let's Encrypt
3 – ACME : Automatisation
4 – Let's Practice
It's free, automated & open
0
Let's Encrypt
10. Certificat SSL Signé par une autorité de
certification :
●
Dépendence d'un tiers (A.C) pour l'obtention du
certificat;
●
Coût d'obtention élevé;
●
Procédure de renouvellement très manuelle;
Certificat SSL auto-signé :
●
Non réconnu par les naviguateurs (non fiable)
1- Introduction
Certificat SSL
13. Mozilla, Electronic Frontier Foundation (EFF) et
des chercheurs du Michigan décident de signer
des certificats numériques
Rejoins par Cisco, Akamai & “IdenTrust” ISRG→
(Internet Security Research Group)
Let's Encrypt signe des certificats pour
répondres aux lacunes :
●
Gratuité;
●
Automatisation;
●
Sécurité;
●
Transparence
1- Introduction
Let's Encrypt
14. Confiance &
Let's Encrypt
Let's Encrypt, vous et vos
utilisateurs : Une histoire de
confiance
2
It's free, automated & open
Let's Encrypt
15. Banques d'autorithés de certification dans les
logiciels clients (navigateurs, …)
Let's Encrypt à lancer la procédure d'être une
Autorité de Certification pour être incluses dans
les banques A.C des logiciels clients
→ La procédure prend BEAUCOUP de temps
IdenTrust Propose de signer un Certificat
Intermédiaire pour Let's Encrypt afin d'accélérer
sa généralisation (19/10/2015)
2- Confiance & Let's Encrypt
Confiance Navigateur
16. Comment Let's Encrypt vous fait confiance ?
●
Let's Encrypt à besoin de 2 certitudes :
– Possession du domaine
– Possession de la clé privée correspondante à la
clé publique qui sera certifiée
→ Procédure automatisée via ACME!
2- Confiance & Let's Encrypt
Confiance Domaine
18. ACME est un protocol ouvert
d'automatisationd'obtention et de renouvellement
de certificats numériques
Prouvons que nous détenons notre nom de
domaine :
●
Challenge DNS : Ajout d'un enregistrement DNS
(_acme-challenge.mondomaine.dz)
●
Challenge HTTP : dépôt de ficher signés par Let's
Encrypt (http://mondomaine.dz/.well-
known/acme-challenge/)
3- ACME : Automatisation
Preuve propriété Domaine
19. Letsencrypt-auto fait le travail pour vous!
●
Création de la paire de clés privée/publique
●
Génération de la requête CSR
●
Vérification des challenges
●
Récupération du certificat signé par Let's Encrypt
●
Configuration automatique du serveur web (si
demandé et si la version de apache est 2.4
3- ACME : Automatisation
Obtention des certificats
22. Exemple de génération de certificats :
# ./letsencrypt-auto certonly -d mdfive.dz -d
www.mdfive.dz –-manual –-agree-tos
Réaliser les challenges demandés manuellement
4- Let's Practice
Letsencrypt-auto
23. 4- Let's Practice
Mise en place du certificat
Installation du certificat (Si manuel) :
●
Upload via Panel d'hébergement (Cpanel, Plesk, …)
Configuration Manuelle de apache (virtualhost) :
<VirtualHost *:443>
ServerName mondomaine.dz
ServerAlias www.mondomaine.dz
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem
<VirtualHost>
24. 4- Let's Practice
Autorenew
Let's Encrypt est en Public BETA Le certificat expire au→
bout de 90 jours!
Automatisation de la procédure de renouvellement
mensuellement : “CRON”
#!/bin/sh
cd /root/letsencrypt
./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –
manual --agree-tos -renew-by-default
/etc/init.d/apache2 restart