Let’s Encrypt est vraiment une innovation essentielle pour
l’auto-hébergement. Finis les certificats auto-signés déclenchant
d’inquiétants messages sur les navigateurs des non-initiés et les
incitant à rebrousser chemin ! Les choses sont simples, bien faites,
automatisables et gratuites.
Reste que les certificats sont stockés sur l’arborescence du serveur
web qui assure le protocole défi-réponse de vérification et que le
système de liens symboliques entre les répertoires live et archive,
qui permet de ne pas redémarrer les services, complique un peu les
choses pour déplacer les certificats d’une jail à l’autre depuis
l’hôte.
La solution la plus simple que j’ai trouvée c’est de monter en
lecture seule le dossier qui contient les certificats sur les autres
jails qui doivent y avoir accès. Pour un utilisateur d’ezjail, il
suffit pour cela d’éditer sur l’hôte dans /etc les fichiers de type
fstab.majail1 en ajoutant une ligne permettant ce montage :
On redémarre la jail et le tour est joué ! Ce n’est cependant pas
parfait, car si une seule jail est compromise, toutes les clefs des
autres jails le seront aussi, mais il n’est pas possible de ne monter
que celles du site concerné, à cause du système de liens symboliques
entre live et archive. Si donc on reste sur des données personnelles
auto-hébergées, je pense qu’il s’agit d’un compromis acceptable entre
sécurité et facilité d’utilisation.
