OVH Community, votre nouvel espace communautaire.

serveur dédié ovh et certificat SSL


Nowwhat
27/06/2016, 10h30
J'ai pas mal de certs chez StartSSL.

Effectivement : l’émetteur est
Received: from WIN-ICPEKFBQ69V (unknown [104.192.108.10])
....
Pas de DKIM, pas de Message ID, etc.

Startssl.com un peu changé leur façon de travailler :
Avant, on avait la possibilité de générer le certif privé 'en ligne' (et automatiquement on avait pas la certitude absolu que nous étions la seule personne à avoir un copie de ce certif).
Maintenant, on est obligé de le générer avec 'openssl' ou l'outil (programme) que startssl.com proposé.
C'est bien tout ça, mais ça rend la procédure un peu plus .... comment dire : longue ....

Ce qui est nouveau, et, je trouve, très important :
AVANT, on avait droit à deux 'nom des domaines' ou "entrées DNS" genre :
nom-de-domaine.tld
puis, par exemple
www.nom-de-domaine.tld
Comme ça, les certificats obtenues chez startssl seront parfait pour un serveur web - mais ....
moins pour un serveur mail (sauf si votre MX est déclaré comme nom-de-domaine.tld - ce qui n'est pas interdit, mais moins courant)

Aujourd'hui, on a droit à 5 entrées DNS:
nom-de-domaine.tld
par exemple : www.nom-de-domaine.tld
par exemple : imap.nom-de-domaine.tld
par exemple : smtp.nom-de-domaine.tld
par exemple : pop.nom-de-domaine.tld

Du coup, j'utilise la même jeu des certificats pour mes domaines "web" et pour le serveur mail postfix (SMTP 25 et SMTPS 465 et SUBMISSION 587) et le "courier" (POP3 et IMAP).
fritz2cat
26/06/2016, 20h16
En contrepartie on parlait de StartSSL plus haut.
StartSSL a été israélien. Maintenant il semble être à peu près chinois ... avec des pratiques assez peu professionnelles

Voici un extrait d'en-têtes SMTP d'un mail reçu automatiquement une semaine avant une expiration de certificat:
Code:
X-Spam-Status: Yes, score=5.7 required=5.0 tests=HTML_MESSAGE,
	HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,MISSING_MID,XPRIO autolearn=disabled
X-Spam-Report: 
	*  0.0 HTML_MESSAGE BODY: HTML included in message
	*  2.2 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
	*  0.0 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
	*  1.5 MISSING_MID Missing Message-Id: header
	*  2.0 XPRIO Has X-Priority header
Received: from mta2.startssl.com (mta2.startssl.com [52.70.93.190])
	by _________ (Postfix) with ESMTP
	for <___________>; Sun, 26 Jun 2016 11:__:30 +0200 (CEST)
Received: from WIN-ICPEKFBQ69V (unknown [104.192.108.9])
	by mta2.startssl.com (Postfix) with ESMTPA id ______
	for <___________>; Sun, 26 Jun 2016 05:__:29 -0400 (EDT)
MIME-Version: 1.0
From: "No-Reply@startssl.com" 
X-Priority: 1
Priority: urgent
Importance: high
Date: 26 Jun 2016 17:14:59 +0800
Subject: ### SPAM 5.7 ### =?utf-8?B?U3RhcnR...=?=
Content-Type: text/html; charset=utf-8
  • Remarquez que la machine Windows qui a envoyé ce mail n'a même pas été rebaptisée depuis son installation.
  • Il semble qu'elle se trouve à GMT+8 dans "ChinaTelecom".
  • Elle relaye le mail via une machine dans le cloud Amazon.
  • Il n'y a pas de message-ID. C'est Mal.
  • Il n'y a pas de partie plain-text. C'est Mal.
  • Mon serveur mail parle TLS mais mta2.starlssl.com ne le propose pas. La conversation est donc en clair à la merci des sniffeurs de tout poil, de préférence ceux en 3 lettres.
lxwfr
26/06/2016, 19h39
il y a encore moin chère depuis namecheap avec comodo dv
kosmos
24/06/2016, 15h32
Merci de votre aide
sich
22/06/2016, 13h46
On en revient aux navigateurs utilisés... Si ils sont sur Chrome / Firefox sur des versions récentes il n'y aura pas de soucis.
Au pire Gandi c'est 12€ HT / domaine de mémoire...
buddy
22/06/2016, 08h31
Lets ecnrypt c'est juste un certificat pour coder. donc que le site soit français, anglais, espagnol, chinois, japonais, arabe et etc ... çà marchera. Le certificat ne sert qu'à chiffrer la connexion.

D'ailleurs lets encrypt est américain...
kosmos
22/06/2016, 08h28
ok bon, je vais suivre vos conseils.
Je m'excuse mais comme je n'ai jamais encore installé ce genre de choses, il reste une question...
Certains de mes sites hébergés sur ce serveur ovh, seront internationaux (anglais, espagnol, chinois). Nous avons une forte communauté en asie.
Avec letsencrypt pas de prob?

C'est pourquoi j'étais parti sur du payant mais si c'est ok avec letsencrypt... bah très bien
bbr18
21/06/2016, 21h00
letsencrypt fonctionne très bien, il est aussi très simple à installer, de plus il est soutenu/aidé par ovh
Nowwhat
21/06/2016, 16h34
[QUOTE=kosmos;673261.
Genre des messages bloquants : "Cette connexion n'est pas certifiée"?
[/QUOTE]
Nouveau "geek stuff" amène toujours des nouveaux 'exceptions' totalement inconnu , qui laisse cette impression 'chaotique'.
Le concept de " letsencrypt " n'est pas mal dans son genre.
Son implémentation (tout un panier de scripts) me donne l'impression que c'est un produit 'récent'

Sinon : ce qui marche aussi bien : https://startssl dot com pour la solution 'normale', éprouvé, rodé, classique (je n'ai dit : 'simple', t'as vu, car il te faut Google pour implémenter ton certificat, ou le doc de ton logiciel, comme un serveur web )
sich
21/06/2016, 16h15
Normalement pas de soucis sur des versions récentes.
buddy
21/06/2016, 16h11
Non let's encrypt marche très bien!!

(bon après je ne te garantis pas que çà marche sous Windows 2000 mais bon ... Windows 2000 c'est oublié normalement).
Lets encrypt marche avec XP, Vista, windows 7, 8 10 Mac osX et Linux.
kosmos
21/06/2016, 15h53
merci de me répondre

Mais je t'avouerai que le côté gratuit me faisait peur !
La certif letsencrypt ne pose pas de prob alors ?
Pas de blocage de IE par exemple?
Genre des messages bloquants : "Cette connexion n'est pas certifiée"?

Merci
sich
21/06/2016, 15h47
En gratuit tu as letsencrypt...
Fonctionne à merveille, parfaitement reconnu par les navigateurs.

Sinon en payant j'aime bien Gandi pour ma part.
buddy
21/06/2016, 15h47
Bonjour,

Pourquoi ne pas installer sur ton dédié lets encrypt ? c'est gratuit et tu auras les mêmes certificats que sur le mutualisé.
https://www.how-to.ovh/viewtopic.php?f=21&t=149
kosmos
21/06/2016, 15h38
Bonjour,

J'ai un serveur ENTREPRISE ovh sur debian 8 "jessie" et je me rends compte que les certificats SSL sont dispo chez ovh qu'avec un mutu.

Et l'option IP loading pour une certif ssl comprends rien. C'est vraiment fait par des geeks pour des geeks !

Donc j'aurai une question...

La question :
Quelle certification SSL payante me conseillerez-vous pour mon dédié en sachant que je vais avoir plusieurs domaines hébergés (env. 6 domaines)? Il faudrait donc un SSL multi-domaines. De préférence un fournisseur francophone pour la compréhension des manip.

Merci de votre aide