Re: [vhffs] support HTTPS

[ Thread Index | Date Index | More vhffs.org/vhffs Archives ]

To: vhffs@xxxxxxxxx
Subject: Re: [vhffs] support HTTPS
From: Sylvain Rochet <gradator@xxxxxxxxxxxx>
Date: Mon, 29 Feb 2016 23:09:07 +0100

Salut Laurent,

On Thu, Jan 08, 2015 at 02:31:39AM +0100, Laurent Stella wrote:
> Bonsoir ;
> et bonne année en passant !

Bonne année 2015… euh… 2016 :-)

> je voulais savoir si le support d'HTTPS avait été envisagé, ou même si
> c'était sur les rails.

Et bien, j'ai plutôt une bonne nouvelle, c'est envisagé, euh, sur les 
rails, euh, c'est en prod sur TuxFamily :-)

> je sais que maintenant on peut faire de l'HTTPS en mutualisé, mais ca peut
> être compliqué de faire ca avec Apache et VHFFS ?

Dans le master de VHFFS il y a le support de certificats TLS attachés 
aux objets, avec le service web (le seul pour l'instant et pour 
longtemps, les autres services étant pas SNI ready et le seront 
probablement jamais, pas de notre faute évidemment) qui sait remplir 
cette table.

Au niveau des robots générateurs de certifs il y a un robot capable de 
générer des certifs en utilisant l'API de Let's Encrypt. C'est encore un 
peu chiant à utiliser vu le rate limiting pour l'instant en place sur le 
service, mais ça fonctionne bien.

> jme rend pas forcément compte, ce serait pas comme le 
> mod-vhost-hash-alias ?

C'est un peu chiant à mettre en place, en effet. On a longuement cherché 
une solution en patchant Apache (mod-ssl et openssl), mais une 
collection de crises de nerfs plus tard j'ai du me rendre à l'évidence, 
openssl est euh, un gros tas difficilement modifiable, pour rester poli. 
Du coup sur TuxFamily on utilise nginx en proxy TLS, parce que je tiens 
à ma santé mentale. Il y a un robot générateur du morceau variable pour 
la configuration d'un nginx.

Il y au moins un avantage notoire, les certifs ssl ne sont pas du tout 
accessible par les hébergés.

Le plus chiant c'est la vérif faite par l'API Let's Encrypt, il faut 
rediriger les demandes d'auth sur le robot qui génère les certifs, rien 
de bien insurmontable toutefois, surtout une fois que le proxy nginx est 
en frontal.

Bref, ça fonctionne, c'est en place, c'est moins bien que ce que 
j'aurais adoré, mais ma santé mentale est encore au beau fixe :-)

Sylvain

Attachment: signature.asc
Description: Digital signature

Follow-Ups:
- Re: [vhffs] support HTTPS
  - From: Laurent Stella

Messages sorted by: [ date | thread ]
Next by Date: Re: [vhffs] support HTTPS
Next by thread: Re: [vhffs] support HTTPS

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/