Je reçois des mails de letsencrypt me disant que mes certificats arrivent à expiration pour mes différents domaines. Ils ne sont pas renouvelés, alors que la commande est bien lancée par le cron deux fois par jours.
Cependant, quand je lance le certbot à la main, les certificats se renouvellent. #TuTeFousDeMaGueule
Et dans les logs de la commande, je peux voir ce message :
Upgrading certbot-auto 1.8.0 to 1.10.1...
Replacing certbot-auto...
Your system is not supported by certbot-auto anymore.
Certbot will no longer receive updates.
Please visit https://certbot.eff.org/ to check for other alternatives.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/monDomaine.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Il semble que Debian 8 ne soit plus supporté, comme on peut le voir dans la liste d'OS sur le site de certbot. En effet, certbot-auto a été déprécié pour tous les systèmes, sauf ceux basés sur Debian et RHEL.
Alors je pose la question : Debian 8 n'est-il pas basé sur Debian ? #OnMAuraitMenti
Je sais que la version 8 commence à dater un peu, mais bon sang ! Décider unilatéralement d'arrêter un service comme ça sans prévenir, c'est comme manger une raclette sans pommes de terre. Ca ne se fait pas.
Le protocol ACMEv1 sera abandonné par Letsencrypt à partir du 01/06/2020. Si vous avez installé certbot (ou un autre client) il y a longtemps (plusieurs mois ou plusieurs années), pensez à le mettre à jour/
Pour Certbot, suivez le lien de ce post. Il faudra simplement désintaller l'ancien client, puis installer le nouveau.
La ligne de commande de renouvellement (généralement lancée dans une tâche CRON) devra être modifiée pour lancer non plus certbot
mais certbot-auto
.
Pour être sûr que votre certificat est bien passé en ACMEv2, ouvrez la configuration de renouvellement du certificat :
cat /etc/letsencrypt/renewal/nomdemondomaine.conf | grep -E "server"
Vous devriez obtenir https://acme-v02.api.letsencrypt.org/directory
La question mérite d'être posée.
Qu'arriverait-il en cas de défaillance de l'infrastructure de Let's Encrypt ? Certes, le client Certbot est réutilisable car open source. Mais il faudrait quand même un certain temps avant qu'une solution de repli du même genre que Let's Encrypt (gratuit, protocole ACMEv2) ne soit disponible.
Une solution provisoire serait de passer aux certificats payants. Car il ne faut pas oublier que les incitations des navigateurs et des moteurs de recherche envers les sites à passer au SSL (meilleur ranking, cadenas vert/rouge, alertes, etc), deviendront une plaie en cas de panne chez Let's Encrypt.
Le système gère à présent plus de 50% des certificats au niveau mondial, ceux-ci étant valables pendant trois mois. Cela signifie concrètement qu'une défaillance de l'infrastructure de Let's Encrypt rendrait quasiment inaccessible plus de 50% des sites web mondiaux dans un délai de trois mois.
Et je ne parle même pas de l'hyper-centralisation de facto de la génération des certificats, ce qui rend une attaque coordonnée de plus en plus profitable.
Plutôt effrayant non ?
Il n'est alors pas totalement farfelu de prévoir une solution de secours dans son PCA/PRA. Juste au cas où.
Il est désormais possible de demander des certificats wildcards avec Let's Encrypt! C'est à dire *.domaine.fr.