Avé Laurent,
Merci pour ta réponse bienveillante et apaisée…
Mouarf :)))
Cela dit, tout choix est une question d'arbitrage qui dépend du
contexte. Non seulement je ne remets pas en cause ta gestion (ni celle
des autres colistiers !) de tes multiples certificats SSL mais je la
trouve très bien adaptée à ton cas. Et ce n'est pas un petit bug de LE
de temps en temps qui va remettre en cause ton dispositif par rapport
aux milliers d'euros que tu économises.
En fait, tout automatisme LE correctement implémenté va réessayer. En 5
ans, j'ai jamais eu de renouvellement foiré. C'est transparent. On
s'occupe de rien. Ça juste marche.
Indépendamment, je trouve cela surprenant cette limite de validité à
90 jours pour les certificats LE. Sans parler d'une sollicitation
moindre de leurs serveurs, si cela avait été un an, nous n'aurions
jamais eu cette discussion.
C'est 90 jours volontairement. Ils auraient posé 30 jours, ça ne
m'aurait pas dérangé, bien au contraire. Je préfère du poisson frais à
de l'avarié. Un certificat, c'est le même esprit. LE a posé la fraîcheur
à 90 jours... En soit, c'est beaucoup plus propre qu'un cert valable un
an... Et moins propre qu'un cert valable 30 jours. C'est un compromis.
De toute façon, le précédent message a bien précisé mon point de vue sur
les certs dont le certificat racine est "quelque part" dans un
espace-temps "incontrôlé" :)
Par contre je reste médusé par ceux qui sont capables de repérer des
"vunls" à toute vitesse ou de conclure qu'un traitement open source
est fiable rien qu'en constatant qu'une "centaine de ko" de code sont
bien lisibles ! Pour avoir exploré les sources d'openssh à la
recherche de la signification de messages d'erreur inhabituels dans
les logs, je n'ai clairement pas eu cette impression.
OpenSSH, t'as pris un bon exemple de simplicité :>>> Dans le cas de LE,
il s'agit de l'implémentation du RFC8555 qui reste modeste. Il y a des
clients ACME qui sont tous petits. Ici on a prévu de remplacer acme.sh
et acmemgr.sh par un package et un utilitaire codés en Ada/Spark
(programmation par contrat -
https://en.wikipedia.org/wiki/SPARK_(programming_language). Ça fera un
sujet qualitatif pour un stagiaire curieux.
--
Stéphane Rivière
Ile d'Oléron - France
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/