CitizenZ

Blog Libre, Net & Société

Certificat SSL signé gratuit avec Let's Encrypt et Nginx

Rédigé par citizenz Aucun commentaire

Voici un moyen simple et gratuit pour passer son site en HTTPS. Il s'agit d'installer et générer un certificat via Let's Encrypt pour Nginx.
Attention : Les certificats générés ne sont valables que 90 jours. Il faudra ensuite les renouveler en réutilisant la méthode décrite dans un autre article.
Sous Debian et avec le serveur Nginx, tout se fait en 2 coups de cuillère à pot.

On commence par installer la version stable de Nginx depuis les dépots officiels :

wget -O - https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb http://nginx.org/packages/debian/ $(lsb_release -sc) nginx" > /etc/apt/sources.list.d/nginx.list
apt update
apt install nginx

On ajoute ensuite les backports Debian puis on installe letsencrypt :

echo "deb http://httpredir.debian.org/debian jessie-backports main" >> /etc/apt/sources.list
apt update && apt full-upgrade -y
apt install -t jessie-backports letsencrypt
service nginx stop

Maintenant, il s'agit de demander un certificat pour notre site (notre nom de domaine). Rien de compliqué :

letsencrypt certonly -d www.domaine.tld -d domaine.tld --agree-tos -m contact@domaine.tld --rsa-key-size 4096 --standalone
service nginx start

Maintenant que vos certificats ont été générés et placés dans /etc/letsencrypt/live/monsite.com, on va configurer le fichier du vhost Nginx (fichier .conf dans /etc/nginx/conf.d/).

Voici un exemple complet :

server {
    listen 80;
    server_name monsite.com www.monsite.com;
    return 301 https://www.monsite.com$request_uri;
    access_log /dev/null;
    error_log /dev/null;
}

server {
    listen 443 ssl http2;
    server_name monsite.comwww.monsite.com;

    if ($host = monsite.com) {
        return 301 https://www.monsite.com$request_uri;
    }

    root /var/www/monsite.com/web;

    index index.html index.htm index.php;

    # HTTPS : mise en place de la config et des certificats
    ssl_certificate /etc/letsencrypt/live/www.monsite.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.monsite.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.monsite.com/chain.pem;

    ssl_protocols TLSv1.2;
    ssl_ecdh_curve prime256v1;
    ssl_ciphers EECDH+AESGCM:EECDH+AES;
    ssl_prefer_server_ciphers on;
    resolver 80.67.169.12 80.67.169.40 valid=300s;
    resolver_timeout 5s;

    ssl_session_cache shared:SSL:10m;
    add_header Strict-Transport-Security "max-age=15768000";

    location / {
        try_files $uri $uri/ =404;
    }

    access_log /var/www/monsite.com/logs/access.log combined;
    error_log /var/www/monsite.com/logs/error.log error;

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    location ~ \.php$ {
        try_files $uri =404;
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

}

On redémarre nginx (service nginx restart) et admirez le "zoli" cadenas vert dans votre barre d'adresse. ON peut lire (en passant la souris sur le cadenas) : "Vérifié par Let's Encrypt) !

Protonmail : un CSS pour le webmail

Rédigé par citizenz Aucun commentaire

Protonmail, le mail sécurisé et crypté, permet, entre autre, de "tweaker" son interface de webmail... à condition de maitriser un tant soit peu le CSS ... Voici donc un p'tit code CSS trouvé sur le Net et légèrement amélioré. Votre webmail Protonmail prend, du coup, quelques couleurs sympas ...

Lire la suite de Protonmail : un CSS pour le webmail

Plusieurs distributions Gnu/Linux affectées par un gros bug dans systemd ?

Rédigé par citizenz Aucun commentaire

Lu sur : https://linux.slashdot.org/story/16/10/01/2155209/multiple-linux-distributions-affected-by-crippling-bug-in-systemd?utm_source=rss1.0mainlinkanon&utm_medium=feed

Andrew Ayer, admin système, a découvert un "potentiel bug critique dans sytemd" qui peut faire tomber un serveur linux vulnérable en une seule commande... Une histoire de PID 1 qui freeze le système et on ne peut plus redémarrer ou arrêter les daemons. Les services de type inetd n'acceptent plus aucune connexion. Des distrib comme Debian, Ubuntu ou CentOS sont potentiellement vulnérables. Le bug semble exister depuis plus de 2 ans et ne demande absolument pas d'avoir les droits root... A SUIVRE.

Comment chiffrer ses e-mail avec PGP sous Thunderbird ?

Rédigé par citizenz Aucun commentaire

Quand Korben nous fait des p'tits tutos, ils sont souvent clairs, précis et directs ! Adaptés au "commun des mortels".

Concernant le chiffrage des mails, voici un bon départ, sous Windows ou Unix-like. A partir de Thunderbird et Enigmail, vous pouvez déjà convenablement sécuriser, chiffrer vos mails. C'est un excellent départ si vous êtes un peu parano, bandit international, lanceur d'alerte ou simplement ... linuxien/Geek.

Ca se passe ici : http://korben.info/comment-chiffrer-ses-emails-thunderbird-gpg.html

Protonmail : vivons heureux, vivons cachés

Rédigé par citizenz 1 commentaire

ProtonMail est un service de messagerie web créé en 2013 au CERN, par Jason Stockman, Andy Yen et Wei Sun. ProtonMail se singularise d'autres services email (Gmail, Hotmail...) par le chiffrement des courriers avant qu'ils soient envoyés aux serveurs. Le service de base est gratuit et propose additionnellement des offres d'extension de services (capacité de stockage, utilisation de nom de domaine différents etc.) payantes.
Les serveurs sont situés en Suisse et échappent ainsi à la législation américaine et européenne.
ProtonMail avait environ 1 000 000 d'utilisateurs en mars 2016...

Lire la suite de Protonmail : vivons heureux, vivons cachés

Fil RSS des articles