Yunohost, Autohébergement, Let’s Encrypt

, par  Genma , popularité : 5%

Installer Let’s Encrypt

Pour installer Let’s Encrypt sur Yunohost (et remplacer le certificat autosigné généré par défaut), j’ai suivi le tutoriel suivant How to : install letsencrypt certificates disponible en anglais et en français. Le tutoriel est bien fait, je n’ai pas de remarque particulière.

Let’s Encrypt et Freebox

Comme je l’évoquais dans mon article Yunohost, Freebox OS, Let’s Encrypt, la Freebox propose un accès https qui repose sur l’usage d’un certificat TLS fourni via Let’s encrypt.

Le soucis est que l’on peut se retrouver dans le cas ou pour une même adresse, avec le port 80, si on a consulté cette adresse (associé au FreeboxOS), on a chargé un premier certificat Let’s Encrypt. Et si on redirige ensuite le port 80 sur Yunohost, on charge un second certificat.

On a un conflit entre les deux certificats vu qu’ils pointent au final sur une même IP... On a le message d’erreur qui s’affiche.

Seule solution que je vois pour l’instant : créer différents profils dans Firefox (via la commande Firefox -p). Dans l’un des profils, je peux aller sur la partie administration de la Freebox, son certificat est associée à l’adresse Ip publique de la box. Dans l’autre profil, je vais sur l’adresse de mon cloud personnel et le certificat Let’s Encrypt.

Une autre solution : désactiver l’accès à la partie administration à distance de la Freebox, passer par le réseau local (accessible à distance via le VPN fournit par la Freebox, un VPN installé sur son instance Yunohost ou via SSH...).

Let’s Encrypt et Pseudonymat

Autre problématique, au moment de le création du certificat de Let’S Encrypt, on doit saisir un email. Je n’y avais pas prêté attention. Mais il y a peu de temps, j’ai reçu un mail m’indiquant que mon certificat (qui a une durée de validité de 90 jours) allait arrivé prochainement à expiration. Mon mail se retrouve donc associé à mon nom de domaine.

Dans mon cas, ce n’est pas un soucis. Mais cela veut dire qu’un organisme externe, en l’occurence ceux qui sont derrière Let’s encrypt ont le lien entre un nom de domaine et un mail. A voir si c’est génant ou pas et faire attention en conséquence lors de la saisie à bien indiquer le bon mail ;-)