Let's Encrypt, c'est parti mon kiki !

D'après Wikipédia, « Let's Encrypt est une autorité de certification dont le lancement qui fournira des certificats gratuits X.509 pour le protocole cryptographique TLS au moyen d'un processus automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites internet ».
Pour faire simple, vous pouvez désormais sécuriser vos sites web en utilisant un certificat SSL gratuit illimité dans le temps, le fameux protocol HTTPS. Génial !

Il faut savoir que Let's Encrypt, c'est un conglomérat de mastodontes d'Internet tels que Mozilla (Firefox, Thunderbird, entre autres), Cisco (leader mondial des réseaux), Akamai (réseaux de diffusion de contenu, alias CDN, utilisés par Facebook notamment), EFF (Electronic Frontier Foundation, ONG internationale dont l'objectif essentiel est de défendre la liberté d'expression sur Internet) et bien d'autres.

À JMSinfo, nous avons eu la chance d'être retenus pour tester Let's Encrypt. Alors c'est parti !

1. Récupérez les sources depuis le dépôt officiel :

$ git clone https://github.com/letsencrypt/letsencrypt

$ cd letsencrypt

2. Générez les certificats :

$ ./letsencrypt-auto --agree-dev-preview --server \

    https://acme-v01.api.letsencrypt.org/directory certonly

3. Les fichiers seront créés dans /etc/letsencrypt/live/$NOM_DE_DOMAINE/, ici encrypt.jmsinfo.co (fictif) :

• cert.pem : certificat serveur seulement, option SSLCertificateFile pour Apache.
• chain.pem : certificats racine et intermédiaire, option SSLCertificateChainFile pour Apache.
• fullchain.pem : tous les certificats, option ssl_certificate pour nginx.
• privkey.pem : clef privée du certificat serveur, option SSLCertificateKeyFile pour Apache et ssl_certificate_key pour nginx. ☣ À NE JAMAIS DONNER À PERSONNE ☠

4. Configuration du VHOST Apache :

<VirtualHost *:443>
        ServerName encrypt.jmsinfo.co

        DocumentRoot /var/www/encrypt.jmsinfo.co/



        SSLEngine On

        SSLCertificateKeyFile /etc/letsencrypt/live/encrypt.jmsinfo.co/privkey.pem

        SSLCertificateFile /etc/letsencrypt/live/encrypt.jmsinfo.co/cert.pem

        SSLCertificateChainFile /etc/letsencrypt/live/encrypt.jmsinfo.co/chain.pem



        SSLProtocol all -SSLv2 -SSLv3

        SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"

        SSLHonorCipherOrder on

        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire



        # HSTS (mod_headers est requis, 15 768 000 secondes = 6 mois)

        Header always set Strict-Transport-Security "max-age=15768000"

</VirtualHost>

Notes :

• Afin de faciliter les futures mises à jour des certificats, faîtes pointer les options vers les dossiers /etc/letsencrypt/live/$NOM_DE_DOMAINE/ plutôt que de copier les fichiers .pem dans un répertoire spécifique.
• Les options SSL sont tirées de cette réponse : “Optimal” Web Server SSL Cipher Suite Configuration sur Information Security Stack Exchange. Vous pouvez générer une configuration aux petits oignons sur Mozilla SSL Configuration Generator.
• Plus d'informations sur User Guide — Let's Encrypt 0.1.0.dev0 documentation.

5. Redémarrez Apache et le tour est joué, l'accès au site web est maintenant sécurisé et reconnu par les Autorités de Certification (CA).


6. Éventuellement, faîtes tester par SSLLabs :

---

Historique

MàJ du 2015-11-12 : ajout du résultat SSLLabs et du générateur de configuration Mozilla.