Let's encrypt

Let's EncryptIt's free, automated and open

Algiers Meetup - Linux, Open Source & Security

Omar Reda Allah AKHAMAlger, 26 mars 2016

Salutations! ... ! عليكم !Hello … السلم

[omar@localhost /] # whoami

Je suis Omar Reda Allah AKHAM

● IT Manager MEGA Development Five● Certifié Red Hat RHCSA & LPI Nv1● Master Systèmes Informatique Intelligents● Passionné de Linux, Logiciels libres & Open

source

Plan

1 – Introduction

2 – Confiance & Let's Encrypt

3 – ACME : Automatisation

4 – Let's Practice

It's free, automated & open

0Let's Encrypt

IntroductionQuels besoins et quels objectifs

1It's free, automated & open

Let's Encrypt

1- IntroductionHttp Vs Https

1- IntroductionHttp Vs Https

1- IntroductionCryptage symétrique

1- IntroductionCryptage asymétrique

1- IntroductionCertificat SSL

Certificat SSL Signé par une autorité de certification :

● Dépendence d'un tiers (A.C) pour l'obtention du certificat;

● Coût d'obtention élevé;● Procédure de renouvellement très manuelle;

Certificat SSL auto-signé :

● Non réconnu par les naviguateurs (non fiable)

1- IntroductionCertificat SSL

1- IntroductionCertificat SSL

1- IntroductionLet's Encrypt

Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan décident de signer des certificats numériques

Rejoins par Cisco, Akamai & “IdenTrust” ISRG →(Internet Security Research Group)

Let's Encrypt signe des certificats pour répondres aux lacunes :

● Gratuité;● Automatisation;● Sécurité;● Transparence

1- IntroductionLet's Encrypt

Confiance & Let's EncryptLet's Encrypt, vous et vos utilisateurs : Une histoire de confiance

2It's free, automated & open

Let's Encrypt

Banques d'autorithés de certification dans les logiciels clients (navigateurs, …)

Let's Encrypt à lancer la procédure d'être une Autorité de Certification pour être incluses dans les banques A.C des logiciels clients

→ La procédure prend BEAUCOUP de temps

IdenTrust Propose de signer un Certificat Intermédiaire pour Let's Encrypt afin d'accélérer sa généralisation (19/10/2015)

2- Confiance & Let's EncryptConfiance Navigateur

Comment Let's Encrypt vous fait confiance ?

● Let's Encrypt à besoin de 2 certitudes :

– Possession du domaine

– Possession de la clé privée correspondante à la clé publique qui sera certifiée

→ Procédure automatisée via ACME!

2- Confiance & Let's EncryptConfiance Domaine

ACME : AutomatisationProtocol automatisé de gestion de certificats

3It's free, automated & open

Let's Encrypt

ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numériques

Prouvons que nous détenons notre nom de domaine :

● Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz)

● Challenge HTTP : dépôt de ficher signés par Let's Encrypt (http://mondomaine.dz/.well-known/acme-challenge/)

3- ACME : AutomatisationPreuve propriété Domaine

Letsencrypt-auto fait le travail pour vous!

● Création de la paire de clés privée/publique

● Génération de la requête CSR

● Vérification des challenges

● Récupération du certificat signé par Let's Encrypt

● Configuration automatique du serveur web (si demandé et si la version de apache est 2.4

3- ACME : AutomatisationObtention des certificats

Let's PracticePassons à la pratique!

4It's free, automated & open

Let's Encrypt

Télécharger Let's Encrypt

# apt-get install git# git clone https://github.com/letsencrypt/letsencrypt# cd letsencrypt/# ./letsencrypt-auto --help

4- Let's PracticeInstallation & 1ère exécution

Installer Configurer Automatiser

Exemple de génération de certificats :

# ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –-manual –-agree-tos

Réaliser les challenges demandés manuellement

4- Let's PracticeLetsencrypt-auto

4- Let's PracticeMise en place du certificat

Installation du certificat (Si manuel) :

● Upload via Panel d'hébergement (Cpanel, Plesk, …)

Configuration Manuelle de apache (virtualhost) :

<VirtualHost *:443> ServerName mondomaine.dz ServerAlias www.mondomaine.dz

SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem

<VirtualHost>

4- Let's PracticeAutorenew

Let's Encrypt est en Public BETA Le certificat expire au →bout de 90 jours!

Automatisation de la procédure de renouvellement mensuellement : “CRON”

#!/bin/shcd /root/letsencrypt

./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –manual --agree-tos -renew-by-default

/etc/init.d/apache2 restart

1,000,000De Certificats délivrés en 3 mois!!!

(au 8 mars 2016 à 09h04)

Merci pour votre attention!

Questions?

[email protected]