PROJET AUTOBLOG


le hollandais volant

Site original : le hollandais volant

⇐ retour index

Lets-encrypt / Certbot sur son PC pour un serveur distant

mardi 5 juillet 2016 à 18:44

Je veux renouveler mon certificat pour mon site à l’aide de Lets-encrypt.
Ici, prenons le cas où je n’ai pas accès à la machine qui héberge le site et que je n’ai qu’un accès FTP et au cPanel (proposé sur beaucoup d’hébergements mutualisés).
On peut toujours générer un certificat : il suffit de lancer Lets-encrypt sur son ordinateur, de générer les certificats et ensuite d’envoyer les certificats manuellement sur le site.

Je suis sous Linux Mint 18 (basé sur Ubuntu 16.04), et je fais tout en ligne de commandes.

Installation de Letsencrypt

Première chose, récupérer Lets-encrypt / Certbot :

sudo aptitude install letsencrypt

Une fois fait, on peut commencer.

Production des certificats

La commande est letsencrypt.
On ne veut que le certificat, on ajoute certonly, et vu qu’on ne se trouve pas sur la machine qui accueille le site web, on doit se mettre en mode manuel avec --manual. Perso je met une sécurité à 4096 bits avec --rsa-key-size 4096 Ensuite on ajoute les domaines pour qui on veut un certificat. Ce qui donne au final dans mon cas (pour trois domaines) :

letsencrypt certonly --manual -d lehollandaisvolant.net -d couleur-science.eu -d neerden.eu --rsa-key-size 4096

Vu que je suis sur un ordi qui n’est pas le serveur, il demande à loguer l’IP qui a fait la demande de certificat : j’accepte pour continuer.
Il faut aussi mettre son adresse email, sur laquelle vous recevrez les notifications d’expiration du certificat.

Ensuite, il s’agit de prouver qu’on est bien le propriétaire du site pour lequel on demande un certificat. Ça se passe par la création d’un fichier sur notre site avec un contenu que Lets-encrypt nous donne.

En pratique, Lets-encrypt nous dit quelque chose comme ça :

Make sure your web server displays the following content at
http://lehollandaisvolant.net/.well-known/acme-challenge/v9IszSuhkY0yg-fpV3sxxxxxxx7KMhAzXY0AxP-tUvc before continuing:

v9IszSuhkY0yg-fpV3sxxxxxxx7KMhAzXY0AxP-tUvc.Y4xbv1PhMl2rRtjYAaaaAaaaAAAaA_ONg_x-zBcF8uHYxt4

Il faut utiliser FTP (ou SSH ou autre) pour créer un fichier /.well-known/acme-challenge/v9IszSuhkY0yg-fpV3sxxxxxxx7KMhAzXY0AxP-tUvc à la racine de votre site, et utiliser un éditeur de texte pour ouvrir le fichier et y mettre le texte v9IszSuhkY0yg-fpV3sxxxxxxx7KMhAzXY0AxP-tUvc.Y4xbv1PhMl2rRtjYAaaaAaaaAAAaA_ONg_x-zBcF8uHYxt4.

Une fois que c’est fait, essayez d’accéder au fichier dans votre navigateur : le fichier doit être accessible (pas d’erreur 404 ou 403 ou autre).
Si ça marche, poursuivez dans le terminal avec la touche « Entrée ».

Si vous avez demandé plusieurs domaines différents, il faudra faire cette manip pour chaque domaine (attention, les codes aléatoires changent à chaque fois).

Quand c’est tout bon, Lets-encrypt a généré vos certificats. Ils se trouvent dans le dossier /etc/letsencrypt/live/ puis votre domaine.
Il y a 4 fichiers dedans : cert.pem, chain.pem, fullchain.pem, privkey.pem.

Installation des certificats

Pour l’installation des certificats, je passe par cPanel que me propose mon hébergeur. Il faut aller dans la section "SSL/TLS". On gère ensuite la liste des certificats et clés privés.

Il faut uploader sa clé privée (le fichier privkey.pem) dans le champ sur la section Private Keys, et le fichier du certificat (fullchain.pem) dans la section Certificates.

Les certificats sont uploadés maintenant, il reste à les installer.
Toujours dans cPanel, allez sur Install and Manage SSL for your site, puis choisissez le domaine. Cliquez ensuite sur « autofill by domain » pour pré-remplir les champs à l’aide des fichiers uploadés et enfin validez par « Install ».
Et là c’est bon : votre site est maintenant en HTTPS et fonctionne.

Cette dernière manip (choix du domaine et autofill) est à faire pour chacun de vos domaines.

Notes

N’oubliez pas de supprimer le dossier .well-known et son contenu : il n’y en a plus besoin.

De même, souvenez-vous que le certificat expirera dans 90 jours, et il faudra refaire tout ça.
Vous recevrez de toute façon un e-mail de notification à l’adresse que vous avez renseigné lors de la génération des certificats..

Parisiens, vous ne craignez pas le froid, j’espère ?

dimanche 29 novembre 2015 à 13:03
fire pictogram Non, parce que pendant 15 jours, vous ne pourrez plus acheter du fioul domestique ou du gaz pour vous chauffer ou n’importe quel autre combustible pétrolier (donc fini les bougies aussi, j’imagine ?). C’est l’arrêté n°2015-00934 qui le dit et ça concerne 412 communes d’Île de France.

Pourquoi ce bordel ? Pour éviter qu’on fasse sauter la COP21 à coup d’explosifs préparés dans sa cuisine. Non, ce n’est pas une blague.

Si je comprends bien, faire une bombe c’est interdit parce que y a la COP21, mais les autres jours, c’est pas grave, hein ?
Après tout, les seuls qui peuvent mourir seront des civils, pas des millionnaires venus en jet-privé pour parler pollution.

Oh et puis c’est bien connu aussi : interdire le fioul ou le gaz en bouteille, ça va refroidir un terroristes mentalement à la ramasse de faire une bombe. C’est sûr : ces types sont armés de kalash et de grenades mais ne savent pas se procurer de la dynamite ou des explosifs plastiques sans passer par l’épicerie pour acheter de l’alcool à brûler. Bien-sûr oui.
Comme s’il n’était pas possible non lus de faire sauter la baraque avec d’autres choses, comme [censuré], [censuré] ou encore [censuré].

Ces mesures, en plus de faire chier les gens, ne servent à rien. C’est juste histoire d’agiter les bras et de montrer "on fait quelque chose".
Ça devient du n’importe quoi.

À propos de la journée d’hommage aux victimes des attentats

vendredi 27 novembre 2015 à 23:33
Je ne suis pas fier de la France : je ne suis pas français, en fait.
Je ne suis pas spécialement fier non plus des Pays-Bas, ceci dit.

En fait je considère la nationalité comme un bout de papier qu’on n’a pas choisi. Certains sont fier de ce bout de papier.

Parallèlement, d’autres sont fiers d’un assemblage de bouts de papier : un livre. Typiquement je parle de la bible ou du coran, mais n’importe quel livre (même un bol de spaghettis) support d’une religion fait l’affaire.

Dans les deux cas, bout de papier ou livre, je peux comprendre qu’on puisse être fier de ça, et je le respecte.

Dans les deux cas je peux aussi regarder le passé et voir ce que cette fierté a pu faire : guerres, attentats, meurtres, génocides, drames, esclavagisme… Mais aussi, de façon parfois passives : famines, non assistance, exploitation… En fait, il n’y a même pas besoin de regarder le passé pour voir ça.

Le nationalisme ou l’extrémisme idéologique est souvent l’excuse brandie en même temps que l’idée du « non, je n’aiderai pas cette personne : elle n’est pas des nôtres ».
Le plus triste dans tout ça selon moi, c’est qu’on ne choisit que rarement sa religion et encore plus rarement son drapeau. Notre existence et la relation qu’on a avec les autres êtres humains sont alors dictés par des lois arbitraires et artificielles que l’on n’a pas choisi.

Le gouvernement, aujourd’hui, veut combattre l’extrémisme religieux de l’état islamique. C’est un but louable quand on voit ce qu’ils ont fait. Ce qu’ils font, aux autres, à des innocents.
Qu’il y ait un hommage solennel et une véritable solidarité, sans frontière, ni couleurs ou barrières, avec les victimes des attentats d’il y a 15 jours et leurs familles et leurs proches, c’est bien et je les rejoins sur ça, à 100%.

Mais que cet élan de patriotisme soit tourné vers des politiciens qui vont récupérer tout ça pour continuer à faire la guerre, continuer à bombarder des gens et leurs maisons et continuer à terroriser son propre peuple, à continuer à exploiter une partie du monde et à laisser le reste mourir aux frontières tout en continuant à vivre dans l’égoïsme : non.

La loi sur l’état d’urgence ne sera pas soumise au conseil constitutionnel

vendredi 20 novembre 2015 à 18:56
david partySur demande de Manuel Valls.

Selon lui, il y a un risque que certaines parties du texte soient censurées et il ne veut pas que ça arrive.

Ce qu’il ne dit pas, c’est pourquoi il existe un conseil constitutionnel et pourquoi ce dernier a la possibilité de censurer des textes de loi.
Le conseil sert en effet à vérifier qu’une loi est possible et qu’elle ne risque pas d’engendrer de dérives, en particulier anti-démocratiques.

Merci Valls, donc, pour avoir demandé au Sénat de ne pas vérifier si sa loi est bien démocratique.
Tu te place donc en position de faire passer les lois que tu veux et n’importe comment. Ce n’est pas le rôle d’un ministre de faire ça. C’est celui d’un dictateur.

ÉDIT : voici une petite liste des dérives que ça engendre, des bavures impliquant des innocents :


image de David Blackwell

[CSS] Optimiser le chargement des polices pour le web

mardi 17 novembre 2015 à 21:09
Quand on inclut un fichier de police en CSS dans sa page web (par exemple la police "roboto"), on fait quelque chose comme ça pour la déclarer :

@font-face {
  font-family: "roboto";
  font-style: normal;
  font-weight: 400;
  src: url("roboto.woff") format("woff");
}

Puis ceci pour l’utiliser :

p {
  font-family: roboto, sans-serif;
}

C’est bien comme ça qu’il faut faire.
Mais qu’en est t-il du cas où la police du même nom est présente sur l’ordinateur de l’internaute ? Il se passe quoi ?

Le navigateur doit choisir entre télécharger la police "roboto" du web ou utiliser la police "roboto" sur l’ordinateur.
Dans les faits, il se trouve que le navigateur télécharge la police du web : la déclaration de la police avec le nom "roboto" remplace en fait le nom "roboto" dans la liste des polices sur l’ordinateur.

Autrement dit, à chaque fois que l’internaute qui a déjà la police d’installée arrive sur votre site, il doit télécharger la police en question. Ce n’est pas optimal.

La solution ? Déclarer le nom possible qu’aurait la police sur l’ordinateur avec « local() » :

@font-face {
  font-family: "roboto";
  font-style: normal;
  font-weight: 400;
  src: local("roboto"), local("roboto-regular"), url("roboto.woff") format("woff");
}

Notez que si vous aviez ses variantes, comme celui en « font-weight: 300 » ou « 700 », vous devez spécifier la noms de polices spécifiques, dans ce cas précis « roboto-light » et « roboto bold ».

De cette façon, si la police Roboto est installée sur l’ordinateur, elle se utilisée et ça s’arrête là. Si elle n’est pas installée, alors la police va être chargée par le navigateur.
On peut donc gagner pas mal en temps de chargement pour une partie des visiteurs.

Dans le cas de Roboto, c’est une police faite par Google et utilisée dans le cadre du material-design. Elle est également intégrée nativement sur Android. Si votre site utilise cette police et que vous utilisez la méthode écrite ci-dessus, alors il sera rapide sur n’importe quel appareil Android (ce qui n’est pas non plus sans importances, vu que de plus en plus de requêtes sont faites depuis des appareils mobiles, majoritairement sous Android).

Enfin, si la police Roboto est installée sur l’ordinateur de votre visiteur sous un autre nom, ça ne fonctionnera pas et elle sera téléchargée quand même.
Je conseille donc, que ce soit lors de l’usage d’une police sur le web ou de l’installation sur votre ordinateur, de toujours utiliser le nom original de la police : vous accélérez alors potentiellement la navigation de vos lecteurs ainsi que la votre, tout en hiérarchisant au mieux la gestion des polices d’écritures : ceux du système avant ceux du web.