Let'sEncrypt HTTPS

Le 20/05/2020 à 10:08

Bonjour,
J'ai vu plusieurs topics à se sujet, la plupart assez vieux, et nous sommes maintenant en 2020.
Aucun hébergeur, même gratuit, ne propose pas de certificats Let'sEncrypt gratuitement. Je trouve que 6 unités/jour est beaucoup trop cher !
Vous avez dit dans un des autres sujets que cela coûtait en performances, permettez moi de douter de cela, une génération de certificat ne prends pas plus de 10 secondes à un raspberry pi zéro, vos serveurs étant 8 fois plus puissants, puisque tout se passe sur les serveurs de Let's Encrypt.

Si cependant, vous conservez ce point de vue, sachant qu'un certificat est valable 90 jours, et doit être renouvelé à 60, nous pourrions simplement payer quelques unités lors d'un renouvellement, le maintien d'un certificat existant ne coûte pas plus en performances que de maintenir un site sans certificat.

Merci d'avoir lu,
Aeris.

Le 20/05/2020 à 10:28

Bonjour et merci pour votre message.

Je comprends votre point de vue. Lorsque nous écrivions ces lignes nous faisions plutôt référence aux performances des sites Web lors des requêtes pour servir un utilisateur. On ne parlait donc pas performances requises pour la génération des certificats. En effet, le cryptage des données mais surtout le Handshake (les ouvertures de connexions) sont beaucoup plus coûteuse en HTTPS, du moins c'était le cas auparavant.

Cependant nous allons considérer votre message et discuter de notre côté d'une éventuelle baisse d'unités. Ce qui est sur c'est qu'on ne peut pas proposer cette option gratuitement, tout simplement car le nombre de certificats SSL émis par adresse IP est très limité.

Je reviens vers vous rapidement.

Titouan pour RaidGHost

---

N'hésitez pas à ouvrir un ticket de support si vous avez besoin d'aide.

Le 20/05/2020 à 12:13

Je viens de relire la documentation LetsEncrypt, je n'ai pas trouvé trace d'une limite de certificats par adresse IP.
J'ai cependant trouvé 2 limites :
- 50 certificats par domaine et par semaine (peut être bypassé en mettant plusieurs sous-domaines par certificat (max 100, donc maximum 5000 sous-domaine certifiés par semaine) ou en faisant un wildcard)
- 10 création de comptes par IP et par 3 heures (il est recommandé pour les hébergeurs d'utiliser un seul compte pour certifier leurs client)

La première limite peut être gênante quand aux sous-domaines en .raidghost.com, je ne sais pas comment fonctionne votre infrastructure mais je pense que vous pouvez générer un wildcard, personnellement j'utilise un domaine gratuit FreeNom.

Actuellement je n'ai pas pris l'option HTTPS et si je vais sur mon site en https:// je suis redirigé vers le site d'une autre personne, site qui, je pense, est un site privé puisqu'il s'agit d'un site de mariage demandant un mot de passe.

Quoi qu'il en soit, merci de votre réponse rapide et de votre hébergeur qui est tout simplement génial.

Le 22/05/2020 à 22:49

Bonsoir,

en fait le problème de performance ne concerne pas la génération du certificat mais les requêtes apache. Celle-ci sont effectivement plus coûteuses lorsque le site est en https puisque toutes les données échangées avec le client sont chiffrées/déchiffrées.

Let's encrypt modifie ses régles et celle-ci ont plutôt tendance à s'assouplir. Les limites, notamment concernant le renouvellement des certificats restent gênantes si l'on veut offrir un certificat à tous le monde ici. D'ailleurs, les limites en cas d'échec sont très pénibles. Si quelqu'un redirige un domaine ailleurs que vers notre IP, le renouvellement échoue. S'il y a trop d'échec, let's encrypt refuse tout renouvellement. Donc pour le moment, c'est payant et celà évite ce genre de problème. De plus, je trouve à titre personnel qu'on en fait trop avec le https. Pour protéger une page de connexion : oui. Pour le reste, je trouve ça excessif.

Puisque votre site n'a pas de https, lorsque vous rentez d'y accéder sur le port 443, le serveur ne trouve pas votre site (c'est bien norma) et redirige vers un site qui en a (en l'occurrence, le site de mariage que vous avez vu). C'est le comportement par défaut d'apache qui veut ça.

J'ai compris que vous trouviez ça cher. Ca l'est peut-être un peu. En revanche, vous avez 1000 unités de carburant offertes dès le départ, ce qui, sur le long terme, doit être pris en compte ;-)

---

Cette signature utilise du bbcode. Vous pouvez apprendre ici !