Salut Laurent,
On Thu, Jan 08, 2015 at 02:31:39AM +0100, Laurent Stella wrote:
Bonsoir ;
et bonne année en passant !
Bonne année 2015… euh… 2016 :-)
je voulais savoir si le support d'HTTPS avait été envisagé, ou même si
c'était sur les rails.
Et bien, j'ai plutôt une bonne nouvelle, c'est envisagé, euh, sur les
rails, euh, c'est en prod sur TuxFamily :-)
je sais que maintenant on peut faire de l'HTTPS en mutualisé, mais ca peut
être compliqué de faire ca avec Apache et VHFFS ?
Dans le master de VHFFS il y a le support de certificats TLS attachés
aux objets, avec le service web (le seul pour l'instant et pour
longtemps, les autres services étant pas SNI ready et le seront
probablement jamais, pas de notre faute évidemment) qui sait remplir
cette table.
Au niveau des robots générateurs de certifs il y a un robot capable de
générer des certifs en utilisant l'API de Let's Encrypt. C'est encore un
peu chiant à utiliser vu le rate limiting pour l'instant en place sur le
service, mais ça fonctionne bien.
jme rend pas forcément compte, ce serait pas comme le
mod-vhost-hash-alias ?
C'est un peu chiant à mettre en place, en effet. On a longuement cherché
une solution en patchant Apache (mod-ssl et openssl), mais une
collection de crises de nerfs plus tard j'ai du me rendre à l'évidence,
openssl est euh, un gros tas difficilement modifiable, pour rester poli.
Du coup sur TuxFamily on utilise nginx en proxy TLS, parce que je tiens
à ma santé mentale. Il y a un robot générateur du morceau variable pour
la configuration d'un nginx.
Il y au moins un avantage notoire, les certifs ssl ne sont pas du tout
accessible par les hébergés.
Le plus chiant c'est la vérif faite par l'API Let's Encrypt, il faut
rediriger les demandes d'auth sur le robot qui génère les certifs, rien
de bien insurmontable toutefois, surtout une fois que le proxy nginx est
en frontal.
Bref, ça fonctionne, c'est en place, c'est moins bien que ce que
j'aurais adoré, mais ma santé mentale est encore au beau fixe :-)
Sylvain