Certificat SSL - Let's Encrypt - PlanetHoster

mrMoi · 24/7/16

Bonjour et bravo pour votre soutien à Let's Encrypt!
Et merci de nous permettre de l'utiliser (et pour votre super service)!

Cependant j'ai un soucis avec votre script de génération automatique:
Le certificat est généré avec un autre domaine que le mien... donc génération en erreur et impossible d'en générer un correct .

le site étant NSFW pouvez vous me contacter en MP?

Merci par avance

PH-Gabriel · 26/7/16

Bonjour mrMoi,

Envoyez nous un ticket via ce lien: https://www.planethoster.com/fr/Contact

Notre support se fera un plaisir de vous aider.

Ghion · 12/8/16

Bonjour,
J'ai un gros soucis, mon site est inaccessible car depuis peu le certificat SSL est périmé.

Mais impossible de le renouveler le certificat je ne vois pas comment faire !!

Merci de votre aide

PH-Jay · 14/8/16

Pouvez-vous svp me dire quel est le domaine concerné ?

cdsweb · 18/8/16

Bonjour,

J'ai demandé l'activation sur mon nouveau nom de domaine il y a plus de 24h et c'est toujours marqué en cours?

Bien cordialement,

dimbyjo · 19/8/16

Bonjour,
Félicitation pour cette belle initiative avec Let's Encrypt.
Par contre , est-ce que ça marche aussi pour les sous domaines ?
Bien cordialement

David77 · 19/8/16

dimbyjo a dit:

Bonjour,
Pour l'utiliser sur un sous-domaine, oui ça fonctionne

RomRom92 · 30/8/16

Bonjour,
Mon site n'est plus accessible via https (mydailydriver.fr) car le certificat a expiré. Comment le renouveler ?
Merci pour votre aide

PH-Quentin · 30/8/16

RomRom92 a dit:

Bonjour RomRom92,

Je viens de regarder dans les logs et voici se que nous pouvons voir:

Ce problème semble venir du fait que vous avez forcé le HTTPS mais qu'hier le certificat n'étant plus valide la requête ACME à échoué.

A ce jour il semble que vous aillez désactiver le forcage sur l'HTTPS cependant voici la nouvelle erreur:

Si vous allez sur http://www.mydailydriver.fr/well-known/acme-challenge, vous allez vous rendre compte que le problème vient du fait que votre CMS prend la main et que la validation ACME ne peut donc malheureusement avoir lieu.

Pourriez-vous SVP regarder à modifier votre fichier .htaccess afin de ne pas prendre la main si le dossier/fichier existe ?

Merci.

RomRom92 · 30/8/16

Bonjour Quentin,

Le site est développé sous CakePHP.
Il y avait déjà eu des problèmes pour la validation du certificat, et j'avais suivi vos recommandations pour la modification du fichier htaccess pour éviter des problèmes lors du renouvellement (https://github.com/cakephp/app/issues/368)

Ci-dessous le contenu du fichier htaccess :

Code:

RewriteEngine On
RewriteRule ^(\.well-known/.*)$ $1 [L]
RewriteCond %{SCRIPT_FILENAME} -d [OR]
RewriteCond %{SCRIPT_FILENAME} -f
RewriteRule "(^|/)\." - [F]

<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteBase /
  RewriteRule    ^$ app/webroot/    [L]
  RewriteRule    (.*) app/webroot/$1 [L]
</IfModule>

Je précise que les dossiers "well-known" et "acme-challenge" n'existent pas sur le serveur.

Merci de votre aide.

daf · 21/12/16

Bonjour,
D'autres hébergeurs proposent un module cPanel intitulé "Let's Encrypt SSL" qui permet de choisir au cas par cas les domaines pour lesquels créer un certificat Let's Encrypt (dans le cas, bien sûr, où l'on a plusieurs domaines).

Est-ce que PlanetHoster envisage de nous proposer ce module ?

Merci pour toute réponse.

PH-Quentin · 22/12/16

Bonjour Daf,

Effectivement par le passé vous aviez la possibilité de demander un certificat SSL pour un domaine/sous-domaine bien particulier.

Cependant actuellement PlanetHoster à pris la décision de signer par défaut tous les (sous-)domaines du fait que la sécurité ne doit pas être une option activable sur demande!

Si vous avez le moindre problème avec votre domaine/SSL, je vous invite à nous contacter par ticket.
Bien à vous.

daf · 22/12/16

Bonjour Quentin, et merci pour votre réponse.

Je comprends tout à fait la position de PH de sécuriser par défaut tous les sites. Je remercie d'ailleurs PH de son engagement sur ce dossier, et de la mise à disposition précoce de Let's Encrypt pour ses clients.

Cependant, il serait utile de pouvoir désactiver au cas par cas ce certificat SSL Let's Encrypt par défaut. Pourquoi ? Par exemple : j'ai plusieurs domaines supplémentaires sur mon hébergement, et je constate qu'un certificat Let's Encrypt peut s'appliquer à plusieurs domaines à la fois. Conséquence : le certificat protégeant un (sous-)domaine révèle qu'il protège également un certain nombre d'autres domaines et sous-domaines.

Or il existe des situations où l'on ne veut pas que le visiteur du domaine Bidule.com puisse savoir que le webmestre de Bidule.com est également celui de Truc.fr ou de Machin.ca (ou d'un sous-domaine de ceux-là).

Mais peut-être est-il possible de demander, dans cPanel, qu'un certificat ne s'applique qu'à un seul (sous-)domaine ? Mais je n'ai pas trouvé comment faire.

Par ailleurs, il semble qu'on puisse empêcher l'installation automatique d'un certificat Let's Encrypt en interdisant, par .htaccess, l'accès au répertoire /.well-known. Pouvez-vous me confirmer que cette technique fonctionne ?

Bien à vous.

PH-Quentin · 22/12/16

Bonjour Daf,

Effectivement depuis le passage vers l'activation global des certificats, les demandes sont effectivement faites via des certificats SAN afin de ne pas dépasser le LimitRate instauré par LetsEncrypt. Si vous regardez de très grands acteurs du web tels que CloudFlare font identiquement la même chose; prenons le cas du blogeur Français très impliqué dans la neutralité du WEB à savoir Korben;

Un petit passage sur IntoDNS et vous pourrez voir qu'il utilise le CDN CloudFlare:

Une petite vérification sur SSL Checker et vous pourrez aussi voir les autres domaines signés dans le même SSL:

D'autres grands hébergeurs français (Un assez connu dont je vais taire le nom qui ne fait pas plus de 3 lettres) ou Google font identiquement la même chose afin de ne pas surcharger les serveurs de LetsEncrypt. Il n'y a donc pas de problème à partager votre certificat SSL avec d'autres domaines cela est à vrai dire assez courant !

Après si vous ne voulez vraiment pas du certificat SSL (déconseillé), il est effectivement possible de bloquer la validation ACME qui se fait sur l'URL

http://www.mondomain.net/.well-known/acme-challenge/

Avec ce genre de code dans votre .htaccess:

Code:

<LocationMatch "/.well-known/acme-challenge/*">
    Order Allow,Deny
    Deny from all
</LocationMatch>

Il est sinon possible de bloquer cela par IP comme ceci:

Code:

Order Deny,Allow
Deny from 66.133.109.36

Bien à vous.

daf · 23/12/16

PH-Quentin a dit:

Merci Quentin. Vos arguments sont convaincants. Cependant, dans l'exemple que vous prenez, Korben n'a manifestement rien à voir avec la flopée de domaines inclus dans le certificat... Tandis que, dans mon expérience, il suffit d'avoir comme domaine principal quelque chose comme MonNom.com pour que ce domaine soit largement visible dans les certificats SSL générés automatiquement par le cPanel de PlanetHoster. Un domaine supplémentaire Bidule.com, si l'on inspecte son certificat SSL, aura comme domaines associés MonNom.com, Bidule.MonNom.com, Truc.com (autre domaine supplémentaire), Truc.MonNom.com, et ainsi de suite. Tout cela laisse peu de doute sur l'identité commune du webmestre et/ou du propriétaire de Bidule.com, Truc.com, et tous autres domaines supplémentaires éventuellement protégés chez le registrar par un "whois privé" qui n'a donc plus lieu d'être.

Pour résumer, c'est un problème de divulgation d'informations qui peut constituer un problème pour certains webmestres et/ou propriétaires de domaines.

Bien à vous.

Certificat SSL - Let's Encrypt - PlanetHoster

mrMoi

New Member

PH-Gabriel

Administrator

Ghion

New Member

PH-Jay

Member

cdsweb

New Member

dimbyjo

New Member

David77

Member

RomRom92

New Member

PH-Quentin

Administrator

RomRom92

New Member

daf

Member

PH-Quentin

Administrator

daf

Member

PH-Quentin

Administrator

daf

Member