Merci pour tes signalements et ta bienveillance :-)
Les éléments ci-dessous sont largement extraits d'un e-mail envoyé par Nils sur nos listes internes après que la situation a été rétablie.
Effectivement, on a eu un petit souci ce matin au réveil, les certificats SSL pour LinuxFr.org (prod, alpha et probablement le reste) avaient expiré ! Pour plein de bonnes et de mauvaises raisons, nous avons laissé passé la date : disponibilité, procrastination, e-mails de rappels en spam, etc.
Nos utilisateurs attentifs nous ont pingués sur nos ML et sur Twitter. À cela on ajoute que certains admins étaient aux Geek Faeries et donc peu disponibles.
Pour mémoire, nous utilisions depuis 2015 un certificat wildcard fourni gracieusement par Gandi. Un grand merci à eux d'ailleurs pour leur soutien et leur générosité. Ils n'ont pas hésité une seconde à l'époque.
Une fois au courant, nous avons accusé réception, vérifié le souci et travaillé sur deux solutions en parallèle pour être sûr de pouvoir rétablir la connexion sécurisé au plus tôt :
Renouvellement du certificat chez Gandi en sortant la CB ;
Mise en place de Let's Encrypt.
La seconde solution a fonctionné, pas besoin de sortir la CB : les sites web linuxfr.org, img.linuxfr.org, alpha.linuxfr.org et img.alpha.linuxfr.org utilisent maintenant un certificat Let's Encrypt, au moins pour une durée de 90 jours. Le renouvellement ne devrait pas être difficile, mais nous en discuterons en interne avant de définir la stratégie sur le long terme.
Côté technique, et comme certbot n'est pas forcément disponible sur toutes les machines (selon les distributions et les versions), Nils a opté pour dehydrated, qui a le mérite d'être léger en dépendances et installable facilement. Accessoirement il l'avait déjà empaqueté pour pkgsrc/NetBSD, donc ça aide.
La modification a d'abord été réalisée et testée sur alpha avant d'être reproduite en prod.
Certains fichiers de configuration de nginx ont été modifiés un peu à l'arrache et directement sur les machines (alors que nous disposons de dépôts git pour ça), donc il y aura encore un peu de travail de consolidation dans les jours qui viennent à ce niveau.
Encore merci à
tous ceux qui nous ont alertés
à Nils qui a sacrifié son programme matinal pour que vous puissiez continuer à naviguer sur LinuxFr.org en toute sécurité ce dimanche !
[^] # Re: Début du compte rendu
Posté par Florent Zara (site web personnel, Mastodon) . En réponse au journal DLFP hacké. Évalué à 10.
Salut Laurent,
Merci pour tes signalements et ta bienveillance :-)
Les éléments ci-dessous sont largement extraits d'un e-mail envoyé par Nils sur nos listes internes après que la situation a été rétablie.
Effectivement, on a eu un petit souci ce matin au réveil, les certificats SSL pour LinuxFr.org (prod, alpha et probablement le reste) avaient expiré ! Pour plein de bonnes et de mauvaises raisons, nous avons laissé passé la date : disponibilité, procrastination, e-mails de rappels en spam, etc.
Nos utilisateurs attentifs nous ont pingués sur nos ML et sur Twitter. À cela on ajoute que certains admins étaient aux Geek Faeries et donc peu disponibles.
Pour mémoire, nous utilisions depuis 2015 un certificat wildcard fourni gracieusement par Gandi. Un grand merci à eux d'ailleurs pour leur soutien et leur générosité. Ils n'ont pas hésité une seconde à l'époque.
Une fois au courant, nous avons accusé réception, vérifié le souci et travaillé sur deux solutions en parallèle pour être sûr de pouvoir rétablir la connexion sécurisé au plus tôt :
La seconde solution a fonctionné, pas besoin de sortir la CB : les sites web linuxfr.org, img.linuxfr.org, alpha.linuxfr.org et img.alpha.linuxfr.org utilisent maintenant un certificat Let's Encrypt, au moins pour une durée de 90 jours. Le renouvellement ne devrait pas être difficile, mais nous en discuterons en interne avant de définir la stratégie sur le long terme.
Côté technique, et comme certbot n'est pas forcément disponible sur toutes les machines (selon les distributions et les versions), Nils a opté pour dehydrated, qui a le mérite d'être léger en dépendances et installable facilement. Accessoirement il l'avait déjà empaqueté pour pkgsrc/NetBSD, donc ça aide.
La modification a d'abord été réalisée et testée sur alpha avant d'être reproduite en prod.
Certains fichiers de configuration de nginx ont été modifiés un peu à l'arrache et directement sur les machines (alors que nous disposons de dépôts git pour ça), donc il y aura encore un peu de travail de consolidation dans les jours qui viennent à ce niveau.
Encore merci à