Ok LE c'est génial on l'utilise beaucoup, ce que veut dire Erwan c'est que beaucoup d'équipements dont les IPMI cités ne sont pas programmables soit en local (pas de crontab, pas d'os où l'on pourrait déposer un LE) soit à distance pour pousser de nouveaux certificats.
La seule méthode que je vois actuellement sur les IPMI c'est programmer un firefox ou chrome headless pour refaire les actions qu'un humain ferait pour déposer de nouveaux certificats. Mais c'est sortir l'artillerie lourde pour un élément qui est censé être simple. Le problème est aussi le même sur différents appliances fermés qui ne te permettent pas de mettre le nécessaire pour recevoir les certificats. On pourrait même comparer cela au DNSSEC où les clefs sont censés tourner régulièrement, dans les faits quand tu gères des domaines sur plusieurs registres qui ont chacun leurs API différentes et qu'en plus ils se permettent de ne pas marcher ou refuser tes clefs sans donner de raisons. La solution la plus viable qu'on a trouvé c'est de mettre une expiration très longue quitte à sortir des guidelines et mettre sous supervision pour nous rappeler de les changer le moment venu. Après Chrome ils sont sympas mais j'apprécie pas du tout la direction, on a bien un Chromium pour faire des tests pour les clients mais on utilise tous Firefox. Et puis bon c'est pas comme si Chrome n'était plus du tout recommandé à l'usage : https://www.eff.org/deeplinks/2021/03/google-testing-its-controversial-new-ad-targeting-tech-millions-browsers-heres Le 07/04/2021 à 09:25, Stéphane Rivière a écrit : > > Regarde dans les tutos... Je ne dis pas que c'est ce qu'il te faut, > c'est juste pour t'informer :) > > > J'avais tout une gestion de certs auto-gérés, avec une petite applic > maison. C'était il y a plus de 20 ans. LE m'a changé la vie. C'est > beaucoup plus simple désormais, pour mon use-case, sans généraliser. > > > En fait n'importe quel système avec une communication sécurisée devrait > mettre à jour ses clés régulièrement. Il n'y a que les *** de *** pour > mettre leurs clés radios à jour... tous les deux ans :> > > Et c'est vrai manifestement dans plein d'autres secteurs. La gestion des > clés, c'est une horreur. Les militaires ont des systèmes de gestion > dédiés et des procédés d'introductions spécifiques pour ce use-case. > > > LE n'est pas pénible en soit parce qu'une maj entre le 2e et 3e de > validité est obligatoire. Il faut juste mettre en œuvre la bonne manière > de faire (ça prends du temps à ce moment) et ensuite, ça s'oublie. > > En termes de sécurité absolue (face à des états) c'est un leurre mais > pour du commercial et du tout venant c'est au moins l'assurance de ne > pas voir ses mots de passes et autres données s'étaler sur le net. > > > J'aimerai l'équivalent pour le mail : universel et simple (j'ai du mal > avec les clé GPG et Enigmail ;). > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
