Certificat et nom de domaine Le sujet est résolu

[Dunatotatos]

Plop !

J'ai rencontré un avertissement de la part de Firefox parce-que le certificat proposé pour se connecter en HTTPS ne correspondait pas au nom de domaine. En effet, j'étais sur https://debian-fr.xyz, alors que le certificat est configuré pour https://www.forum-debian.fr.
L'idéal serait peut-être de faire une redirection vers www.

C'est tout.
A+
Moi

[lol]

Salut,
J'ai cette règle pour l'instant:

Code : Tout sélectionner

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.forum-debian.fr/$1 [R=301,L]

Je suis étonné,, quand j'attaque https://debian-fr.xyz/ je suis bien redirigé vers https://www.debian-fr.xyz/
Enfin... pour être tout à fait franc, ça dépend du navigateur,, certains me renvoie sur www d'autres pas...

Je déteste les règles de redirection apache. J'ai du mal à comprendre comment ils ont pu pondre un truc aussi merdique

[lol]

J'ai peut-être trouvé...

Code : Tout sélectionner

RewriteEngine On
RewriteCond %{SERVER_PORT} !=443 [OR]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.example.com/$1 [R=301,L]

J'essaye demain...

[Dunatotatos]

Pour info, voici exactement les réponses du serveur :

Code : Tout sélectionner

$ curl -I http://debian-fr.xyz
HTTP/1.1 301 Moved Permanently
Date: Tue, 24 May 2016 13:21:47 GMT
Server: Apache
Location: https://www.forum-debian.fr/
Content-Type: text/html; charset=iso-8859-1

$ curl -I https://debian-fr.xyz
curl: (51) SSL: certificate subject name (www.forum-debian.fr) does not match target host name 'debian-fr.xyz'

C'est dû au fait que dans le protocole HTTPS, les certificats sont vérifiés avant que Apache ne puisse intervenir (établissement de la connexion SSL/TLS avant de commencer la communication en HTTP). Du coup, la redirection de https://debian vers https://www.debian n'est pas suivie si le certificat n'est pas bon. Ça fait me demander s'il y a une solution à ce problème autre que d'étendre le certificat au domaine de premier niveau.

[lol]

Je crois que c'est bon avec le htaccess que je viens de mettre.
C'est la condition [OR] qui marche bien.

[Dunatotatos]

Manifestement pas :

Code : Tout sélectionner

$ curl -I https://debian-fr.xyz
curl: (51) SSL: certificate subject name (http://www.forum-debian.fr) does not match target host name 'debian-fr.xyz'

[lol]

Ben oui, fatalitas...
Et je peux pas utiliser 2 certificates dans mon vhost...
Et letsencrypt ne fournit pas de wildcards (ils sont déjà bien aimables de fournir des certificats pour les sous-domaines...).
C'est donc sans issue.

[Dunatotatos]

Par contre, tu peux créer des certificats multi-domaines.

[lol]

Franchement je vois pas trop l'intérêt d'aller faire un certificat pour debian-fr.xyz alors que la personne qui visite https://debian-fr.xyz sera redirigée aussi sec sur https://www.forum-debian.fr.
C'est, à mon avis, se faire chi.. pour pas grand chose.
Je ferais peut-être un des ces 4 un portail https://debian-fr.xyz. Ça réglera le problème...

[Dunatotatos]

la personne qui visite https://debian-fr.xyz sera redirigée aussi sec sur https://www.forum-debian.fr.

Non, justement. La redirection ne pourra jamais fonctionner si le certificat ne contient pas le bon nom de domaine. Certains navigateurs ignorent effectivement cette erreur de certificat et continuent l'échange avec Apache, mais tout navigateur correctement configuré bloquera avec l'erreur

Code : Tout sélectionner

SSL: certificate subject name (www.forum-debian.fr) does not match target host name 'debian-fr.xyz'

Après, je suis d'accord que le problème est minime. J'ai préféré le signaler au cas où, mais si quelqu'un accède directement à https://debian-fr.xyz, il sait aussi lire une erreur pour comprendre d'où vient le problème. J'ai juste peur des plugins comme httpseverywhere qui redirigeront sur cette adresse un utilisateur qui tapera juste debian-fr.xyz dans sa barre d'URL.

[lol]

Tu as raison sur deux points:
- il y a un problème;
- il n'est pas dramatique.

Je vais reflechir sérieusement à la page "portail" sur debian-fr.xyz.
Il y a forcément un moyen de contourner ce problème à la noix.
Merci d'avoir soulevé le pb.

[PengouinPdt]

Franchement, étant donné que c'est un certificat Lets'Encrypt, tu fais une nouvelle demande avec les deux domaines dedans, dans le même certificat ...
Dans la même demande de cert, tu fais pour www.debian et pour debian ...
Et, ton problème de cert n'existera plus !

[lol]

Le problème n'est pas le certificat, c’est le vhost.

[PengouinPdt]

Le problème de vhost se réglera quant tu auras un cert correct pour les deux domaines - à moins que sur ce coup apache fonctionne différemment de nginx. ;)

[PengouinPdt]

(...)
Et letsencrypt ne fournit pas de wildcards (ils sont déjà bien aimables de fournir des certificats pour les sous-domaines...).
(...).

Oui, LE ne fournit pas de cert wildcards, néanmoins ...
lors de ta création de cert auprès de Let's Encrypt, tu peux très bien créer un seul cert qui comprend les domaines suivants :
-d debian-fr.xyz -d www.forum-debian.fr -d git.debian-fr.xyz, etc ...

Et, si tu l'utilises en mode webroot, ce qui est quand même plus pratique, tu peux même utiliser un fichier de configuration dans lequel tu déclares tes différents domaines, que tu n'as plus qu'à cibler lors de ton interrogation auprès de LE !

Un exemple de fichier de config :

Code : Tout sélectionner

# Prefer to use a 4096 bit RSA key instead of 2048
rsa-key-size = $ssl_key_length

email = $email
domains = $domains

authenticator = webroot

# This is the webroot directory of your domain in which
# letsencrypt will write a hash in /.well-known/acme-challenge directory.

webroot-path = $dir_domain

Un coup de commande suivant :

Code : Tout sélectionner

${letsencrypt_cmd} certonly --agree-tos --config "${file_cfg_le}" 

[lol]

Oui, LE ne fournit pas de cert wildcards, néanmoins ...
lors de ta création de cert auprès de Let's Encrypt, tu peux très bien créer un seul cert qui comprend les domaines suivants :
-d debian-fr.xyz -d http://www.forum-debian.fr -d git.debian-fr.xyz, etc ...

Voilà une info intéressante et utile!
Un seul certificat couvrirait tout (root, et sous-domaines) ?
Si c'est le cas je suis passé à côté de l'info importante (et je te remercie ÉNORMÉMENT!).

Je regarde ça cet après midi, dés que (et si) j'ai un moment (j'ai un dédié à configurer, un NAS Raspberry à mettre en route... un RDV important dans une heure et théâtre de ma fille à 18h...).
Et le courant est coupé...

[PengouinPdt]

Oui, LE ne fournit pas de cert wildcards, néanmoins ...
lors de ta création de cert auprès de Let's Encrypt, tu peux très bien créer un seul cert qui comprend les domaines suivants :
-d debian-fr.xyz -d http://www.forum-debian.fr -d git.debian-fr.xyz, etc ...

Voilà une info intéressante et utile!
Un seul certificat couvrirait tout (root, et sous-domaines) ?
Si c'est le cas je suis passé à côté de l'info importante (et je te remercie ÉNORMÉMENT!).

(...)

Oui, à condition que les domaines répondent bel et bien lors de l'interrogation que fait LE, et que les vhosts correspondants soient fonctionnels, et que le répertoire .well-known accepte les interrogations !
Pour :
- debian-fr : DNS configuré ; ton vhost doit répondre ; LE doit pouvoir interroger http://debian-fr.xyz/.well-known/acme-challenges/
- http://www.debian-fr : DNS configuré ; peut être le même vhost que ci-dessus ; LE doit pouvoir interroger http://www.forum-debian.fr/.well-known/acme-challenges/
- git.debian : DNS configuré ; vhost config ; LE interrogeant http://git.debian-fr.xyz/.well-known/acme-challenges/
- etc ...

[lol]

Super,
Merci pour ce super truc.

Oui il faut que les vhosts existent pour que letsencrype accepte de créer le certificat.
J'en ai fait un pour mon LAN, mais c'est une sacré gymnastique...

Je m'occuperais donc de tout ça à tête reposée.

[Dunatotatos]

Par contre, tu peux créer des certificats multi-domaines.

Hum, c'est exactement ce dont je parlais ici ^^

Sans rancune

[PengouinPdt]

En effet, Dunatotatos ... mais apparemment lol n'avait pas compris ;)
Et, puis, tu aurais (d|p)u être plus clair :p