PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

Quelques liens en vrac et en français, 23° édition

dimanche 8 octobre 2017 à 10:30

Encore et toujours de la lecture, je sais, je suis infatigable (à défaut d’écrire ou d’expérimenter, d’ailleurs plutôt dans l’autre sens). Ceci dit, dans ce numéro, se trouve certains résultats de mon ménage dans mes marque-pages, donc pas taper sur l’age des articles 🙂

L’ouverture des brevets de la recherche, un tabou pour l’Open Science ?

Alors que le mouvement vers une plus grande ouverture dans le partage des travaux de recherches scientifiques prend petit à petit de l’ampleur, en France il reste encore un vrai problème avec l’approche des brevets qui pourraient pourtant permettre à des universités de tirer un revenus ? Comme tout ce qui est réflexion sur le juridique, je préfère laisser la parole à de vrais experts 🙂

Optimisez votre système Linux avec Stacer

Un logiciel user-fridendly pour faire quelques opérations de maintenance, surtout sous Linux où en temps normal on trouve une tétrachiée d’astuces indépendantes en ligne de commandes, c’est pas cool ? Bon ceci dit, y’a certains travers (genre le clean de mémoire cache, pas nécessairement pertinent, ou la liste des paquets, beaucoup de dépendances qu’il ne faut pas supprimer), mais c’est quand même appréciable, et pas moche en plus. Après faut accepter une application node.js sur sa machine.

Nano pour les nuls

J’ai beau être devenu un inconditionnel de Vim, mes premières années de manipulation sous Debian se sont faites avec nano, et il faut reconnaître que pour les gens qui débutent, ça reste un logiciel très abordable qui ne manque pourtant pas de fonctionnalités.

Bien utiliser git merge et git rebase

Parmi mes lectures pour mieux appréhender Git, ce magnifique outil de gestion de code source, je suis tombé sur cet article qui donne quelques pistes sur la bonne utilisation de certaines options de git.

Changer le nom de l’utilisateur root de MySQL

On ne le dira jamais assez, si vous pouvez changer dès que possible les comptes d’administration par défaut de vos téléphones, box, appareils, bases de données, faites-le. Ici, c’est pour le fameux compte root de MySQL que vous est présenté la manipulation.

Le protocole HTTP

Un peu vieux et très long, cet article est pour autant toujours d’actualité vu qu’HTTP2 n’est pas encore disponible partout (et quand je vois le mal que j’ai eu à l’activer chez moi, vous allez encore voir du HTTP1.1 pendant des années mes cocos). Très pratique pour vraiment bien connaître le protocole qui est en passe de régir vos vies (puisque tous les services web l’utilisent, et l’on est amené à en utiliser de plus en plus).

Contourner l’authentification Linux en éditant le GRUB

Cette manipulation est avant tout pratique non pas pour détourner un système, mais surtout pour le dépanner quand son démarrage normal ne fonctionne plus. Du genre, vous avez pété le fichier de configuration des sudoers, et du coup impossible de passer root direct (puisque le compte n’est pas accessible par défaut, par exemple sur Ubuntu).

Comment maximiser les performances d’Nginx

A l’image de n’importe quel logiciel, Nginx n’est pas forcément au mieux de sa forme dans sa configuration par défaut. Ce billet est donc diablement intéressant et surtout qui propose des annexes en français d’aussi bonne qualité. A garder dans sa trousse à outils lors d’une enquête sur les performances nginx.

Linux : booster les accès en lecture à vos disques

Pareil que pour Nginx juste avant, notre bon vieux noyau peut être paramétré pour tirer le maximum de son environnement, pour peu qu’on y consacre un peu de temps. Et parfois avec des options très simples, bien que pas évidentes à deviner.

Mangez de la regex

Un des guides les plus intéressants que j’ai pu lire (et pourtant les regex continuent parfois de me résister), disponible dans plusieurs langues dont l’anglais et le français, et c’est disponible sur Github, donc hésitez pas à cloner ou à contribuer si vous en avez les capacités 🙂

Le point de montage du pseudo système de fichiers du noyau

J’ai eu toutes les peines du monde à écrire un tel article sur /proc, avant que je retrouve au tréfonds de mes archives cette page de wiki décrivant, avec au moins autant de clarté que ce que je cherchais à obtenir, le contenu et le fonctionnement de ce « dossier » très particulier de l’arborescence sur un système Linux.

Vais-je devoir changer de pseudonyme ?

jeudi 5 octobre 2017 à 18:30

Depuis que j’ai décidé de revenir à une activité publique régulière sur Internet avec mon pseudonyme remontant à 1998, il m’est régulièrement arrivé de me faire jeter par des systèmes de protections qui n’apprécient pas ce que je leur présente. Et ça me gonfle de plus en plus.

Oui, mon pseudo n’est pas le plus original du monde, mais il date d’une époque où mon cerveau d’adolescent fonctionnait comme celui de n’importe quel adolescent qui ne jurait que par MSN Messenger.

Mon encéphalogramme d’adolescent

Il existe sur Clubic depuis 2003, bien que je ne me rende pratiquement plus jamais sur le site, probablement sur certains sites qui ont disparu depuis (oui j’ai eu ma période chat Caramail, pour ceux qui sont assez vieux pour s’en souvenir), depuis 2006 je crois sur NextINpact, le domaine seboss666.info existe depuis 2011 (d’abord pour du privé, ensuite pour du public depuis 2013), bref, jamais ne s’était posé la question de la pertinence ou de la facilité à le prononcer (moi-même parfois je bafouille en voulant me présenter via ce nom).

C’était sans compter sur la débilité des automates censés nous protéger de différents problèmes : filtres de commentaires, antispam mail, il m’arrive régulièrement de me faire jeter salement parce qu’une partie de ce que je présente ne plaît pas aux fameux outils, sans que je puisse m’en défaire simplement.

Pour comprendre pourquoi, il faut reprendre le pseudo lui-même : seboss666. Une série de lettres qui se terminent par un nombre. Rien de transcendant, certains diront très classique même encore aujourd’hui pour de nombreuses personnes qui décident d’utiliser un pseudonyme, seulement, cette construction a été utilisée pendant de nombreuses années par les spammeurs industriels pour construire les adresses temporaires utilisées pour l’envoi en masse de messages publicitaires et/ou frauduleux, sans parler de la masse d’harceleurs anonymes qui peuvent s’attaquer aux personnes vulnérables sur les différents espaces publics, salons IRC, commentaires de blog, forums, réseaux sociaux… Un point que j’avoue n’avoir pas considéré lorsque j’ai décidé de devenir plus visible (notamment en participant aux commentaires d’autres blogs), mais qui cause des problèmes à de nombreux niveaux.

Les mails donc, il n’est pas rare que les messages que j’envoie finissent en spam ou en greylisting (les deux n’étant pas exclus), et comme les dossiers de spam tendent à devenir invisibles avec les outils de mail modernes, je tombe parfois dans le vide (certaines demandes d’autorisation de traduction ont certainement subi un tel traitement). Même hébergée chez un opérateur connu, à savoir OVH, je n’y échappe pas, et les bonnes pratiques (SPF/DKIM/DMARC/whatever chiantissime) ne suffisent pas car le délit de sale gueule se produit dès la lecture du nom de domaine, un peu comme un CV avec un nom pas trop français ou trop féminin sera rejeté direct par un recruteur misogyne et/ou raciste.

Il y a finalement plus pénible, car le mail ne représente qu’une partie mineure de ce désagrément : les commentaires de blog. D’emblée, pratiquement tous ceux qui utilisent akismet m’ont nécessairement fait chier à un moment donné, soit en détruisant directement le commentaire (il n’apparaît pas sur le site, il n’est pas en modération, et je n’ai pas de message d’erreur), soit en le passant directement en modération, le cas frustrant étant celui où l’on est pas prévenu. A la limite, je suis près à accepter de ne pas être publié automatiquement, après tout la gestion des commentaires d’un blog est de la responsabilité de son tenancier, mais en tant que contributeur légitime et respectueux (en tout cas c’est comme ça que je le considère), ça reste un poil rageant, mais au moins être prévenu par un petit « votre commentaire est en attente de modération » est sympa à voir. C’est normalement ce que vous vous voyez répondre par ce blog lorsque vous intégrez plus de deux liens dans votre commentaire. Et pas de solution miracle à par contacter le patron pour lui demander d’agir, quand il en a le pouvoir. Mais si c’est par mail et que je suis coincé…

Et puis il y a ceux qui refusent purement et simplement, comme dernièrement le blog-libre, en voulant ajouter un commentaire sur le blog libre. Le message est tout simplement insultant :

Aucune possibilité de validation manuelle de la part des propriétaires, le commentaire n’est même pas enregistré, et on a un vague message « ça plait pas, merci de tout revérifier ».

Autre problème : les routines de validation des formulaires, entre autres les adresses mails. J’ai du choisir une autre boite mail, que j’essaie pourtant de virer définitivement (c’est une boite Yahoo…) pour pouvoir commander ma place pour la Nuit du Hack parce que ma boite en seboss666.info n’est pas reconnue comme valide. Il est possible que l’extension info soit en cause, comme d’habitude je n’ai eu aucun détail sur la raison, mais avec je ne sur ce sujet, c’est une fois de plus frustrant.

Changer de pseudo, c’est comme changer de nom, c’est pas évident

J’ai connu des personnes qui changeaient de pseudo comme de chemise, qui en utilisent un par site différent, ou, et c’est du vécu dans le domaine du jeu vidéo, pour éviter de devoir assumer son passé de tricheur ou de boulet professionnel immature en se présentant à une nouvelle équipe. Ça n’a jamais été mon cas, même si pour être tout à fait honnête, j’utilise un autre pseudonyme pour le jeu vidéo : Morpheus, très original une fois de plus, et vous comprenez pourquoi j’utilise son visage en avatar partout, même pour Seboss666.

Et ça me semble très compliqué de devoir changer, tout comme on ne se voit pas facilement changer d’identité civile. Il y a peut-être des situations où ça semble approprié, comme un nom de scène, ou une protection de témoin dans le cadre de grosses affaires criminelles, mais sinon, on ne change jamais de nom dans la vie « physique ». Pourquoi est-ce que ça devrait être le cas dans la vie numérique ?

Ce pseudo n’a pas empêché mon futur (et maintenant ancien manager, coucou Ory) de s’intéresser à mes écrits et plus particulièrement ma sensibilité à la vulgarisation, un élément essentiel pour accompagner certains de nos clients les moins techniciens. Ce n’est donc pas un réellement un problème d’humain, mais bien de machine.

Et pourquoi pas mon vrai nom ?

On parle de pseudonymat ici, il n’est pas question d’anonymat, et n’importe quelle personne même peu technique mettra moins de deux minutes à retrouver mon identité civile. Même s’il n’y a pas d’association directe autre que l’avatar, il ne faudra pas longtemps à quelqu’un pour associer mon pseudo en jeu et mon pseudo principal. Certains font le choix de s’afficher directement avec leur nom. C’est leur choix, ça peut se comprendre, mais ça n’a jamais été mon cas même si j’ai évolué notamment dans la façon dont on peut découvrir mes différentes identités. Dans la vie physique je suis Sébastien, dans la vie numérique je suis Seboss666. C’est aussi simple que ça, les deux sont aussi sympas (moins timide en ligne peut-être), il n’y a pas de dissociation de personnalité, juste deux points d’entrée différents en fonction du contexte.

Pourquoi ? Tout simplement parce que certains s’arrêtent à ce pseudo quand ils le rencontrent et l’associent à l’activité qu’ils découvrent. Tout comme certains membres de ma famille ne connaissent pas mon pseudo, parce que je ne fais pas particulièrement de publicité. Le pseudo est donc d’abord là pour dire quel domaine il concerne, et rares sont les porosités, bien que ça soit de moins en moins le cas.

Donc non, je ne vois pas pourquoi je virerais tout pour juste afficher mon nom complet (en plus une recherche gogol fait remonter quelqu’un de complètement différent qui n’est même pas de ma famille).

Status quo alors?

Presque. Non j’ai pas envie de changer de nom. Et oui j’en ai ras le cul d’avoir à me justifier. Alors je vais rester comme ça, mais de plus en plus je vais éviter de perdre du temps. Ça vous plaît pas ? Tant pis, vous perdrez un contributeur, un contact, et moi je gagne du temps pour autre chose. Le temps n’est pas extensible (ou alors ma prochaine voiture doit être une DeLorean), autant arrêter de le gaspiller.

Splasher : un super jeu de plateformes, surtout sous Linux !

samedi 30 septembre 2017 à 10:30

Si vous suivez un peu l’actualité jeu vidéo indépendant, vous avez forcément entendu parler de Splasher. Il y a également aussi une grande chance d’en avoir entendu parler au détour d’une vidéo YouTube, ou d’une chaîne Twitch, puisqu’il a fait un peu de bruit cet été. Mais pourquoi est-ce que j’en remets une couche plusieurs mois après alors ? Parce que je ne joue pas beaucoup, et que ce blog n’est pas vraiment un rendez-vous incontournable de l’univers « du gaming », comme disent les djeunz. Et qu’il doit vraiment valoir le détour, même plusieurs mois après. Alors qu’ai-je à en dire ?

Déjà Cocorico, parce que Splasher, même avec son titre anglophone, sa présentation anglophone sur Steam, est un jeu français, développé par la Splash Team, petite équipe dont certains membres ont bossé sur certains épisodes de Rayman (une des références en matière de jeux de platformes). Et que l’aspect speedrun du jeu (j’y reviendrai tout à l’heure) a été développé en partenariat avec l’équipe du NESblog, qui est très impliquée dans cette activité.

Splasher est donc un jeu de plateformes. Vous êtes un employé d’une usine chimique qui découvre que les ouvriers sont traités comme du bétail par les chimistes, et vous décidez de les libérer. Le scénario est donc particulièrement basique, mais l’intérêt du jeu ne réside finalement que peu dans son pitch, mais bien plus dans ses mécaniques et son level design. C’est un jeu de plateformes, jusque là, rien de transcendant, mais il emprunte certaines mécaniques à Mario Sunshine (l’utilisation de l’eau pour nettoyer certaines surfaces, ouvrir certaines portes ou détruire quelques ennemis) et à Portal 2 (pour les peintures collantes et rebondissantes). Certains passages du jeu vous demanderont de mixer savamment les trois types de « tir » dont vous disposez, tout en effectuant des sauts millimétrés pour certains.

Le jaune ça rebondit, le rouge ça colle (aucune arrière-pensée)

Ça peut vite être compliqué, et frustrant. Parce qu’autant le dire, vous allez mourir. Beaucoup. Souvent. Il ne faut pas se décourager toutefois, quand vous arrivez à enchaîner les sauts, les changements de peinture, les mouvements pour attraper un ouvrier au vol, le tout avec virtuosité, c’est diablement gratifiant et il vous pousse des ailes pour attaquer le secteur ou « tableau » suivant. Dans chaque niveau des checkpoints plus ou moins fréquents sont présents, ce qui permet de ne pas être aussi pénalisé que dans un jeu d’il y a 20 ans. Malgré tout, il faudra patience et dextérité pour venir à bout de tous les tableaux et récupérer vos 154 potes.

Et après avoir terminé ça, vous n’avez fait qu’un peu plus de 60% du jeu. Il y a en effet tout un pan réservé au speedrun. Pas étonnant, les mécaniques du jeu et sa nervosité s’y prêtent à merveille. Mais d’abord, c’est quoi le speedrun ? Pour ceux qui ne le sauraient pas encore, il s’agit de terminer un jeu le plus rapidement possible, sous certaines conditions, parfois en exploitant des bugs non corrigés/corrigeables (Des furieux terminent The Legend of Zelda : Ocarina of Time, initialement sorti sur Nintendo 64, en moins de 20 minutes en usant justement de bugs). Un héritage de certains jeux 8 ou 16bits qui à l’époque déjà proposaient une mécanique de score parfois basée sur le temps (Sonic me vient à l’esprit pour le temps que j’y ai passé, à savoir des années).

Chaque passage a un « score » à atteindre

La particularité ici étant que le concept est intégré au jeu, contrairement à la pratique de ces dernières années qui s’attaque à tout type de jeu, et surtout ceux qui ne sont pas prévus pour. Et la Splash Team, pour bien faire les choses, à contacté le NESblog, collectif de personnes gravitant au cœur du jeu vidéo, dont les représentants les plus connus sont RealMyop et CoeurDeVandale, qui ont grandement participé à la popularité de la pratique en France, grâce d’abord à 88Mph, émission diffusée sur YouTube, puis Speed Game, émission qu’ils ont présenté sur JeuxVideo.com jusqu’à leur rachat par Webedia (qui a viré tout le monde ou presque sous prétexte que « ça rapporte pas assez« ). Avec également un testeur comme Kilaye, un passionné de SpeedRun ayant déjà quelques trophées à son tableau de chasse, autant dire que ce mode, s’il vous inspire, saura sous satisfaire, avec encore à la clé la gratification de réussir à enchaîner les sauts, les peintures, sous certaines conditions, à savoir avec ou sans les potes à ramasser.

Et Linux là-dedans ?

Ben oui, je le mentionne dans le titre, autant en parler. Contrairement à ce qu’en dit la section configuration recommandée sur Steam, le minimum pour jouer, en tout cas de ce que j’ai fait, est plus bas qu’indiqué, laissant une fois de plus penser que le jeu est d’une finition exemplaire. Que recommandent donc les développeurs ? Un CPU à 3GHz, et une carte graphique dédiée type HD 5700. Et j’ai pu terminer le jeu, de manière fluide à ~95%, sur un CPU à 2GHz avec sa carte graphique Intel HD Graphics 5500 intégrée (mon laptop préféré, souvenez-vous). J’ai donc 1Ghz de différence et une carte qui doit partager sa mémoire vive avec ledit CPU, contrairement à la HD 5700 qui dispose de mémoire dédiée, beaucoup plus rapide.

Les 5% « non fluide » étaient principalement dus à quelques rares scènes bien chargées, notamment des passages où le niveau d’acide monte inexorablement. Malgré tout la baisse de fluidité était contenue, ce qui a permis de m’adapter à cette perte et pouvoir synchroniser malgré tout mes mouvements. Et je n’ai pas plus expérimenté la mort que lors des passages parfaitement fluides. Et pour info, j’ai joué à la résolution native du laptop, 1366×768, avec tous les effets activés (les options sont assez simplistes, mais il y en a, c’est toujours appréciable).

L’un des 154 potes à récupérer

Et tout ça, en ayant joué avec deux manettes différentes. J’ai commencé le jeu lorsque j’étais en week-end chez ma sœur en Bretagne, et mon beau-frère m’a prêté l’une de ses manettes PlayStation 3. J’ai du bricoler un peu avec xboxdrv pour forcer l’association avec le jeu, mais sinon, sa reconnaissance en tant que telle était parfaite en USB. Malgré tout, le jeu est d’abord pensé pour la manette Xbox 360 (celle que j’ai utilisé pour jouer au premier « Zelda » sur NES), et là, c’est juste parfait. On branche, on lance le jeu, roulez jeunesse, rien à faire, comme on s’y attendrait.

Donc si vous n’avez pas encore eu l’occasion de goûter aux plaisirs d’un platformer nerveux, et que la mort récurrente ne vous fais pas peur, foncez, c’est pas cher, c’est français, c’est jouable sous Linux, bref, c’est délicieux.

Stylus, reprenez le contrôle sur le design des sites Web

mercredi 27 septembre 2017 à 18:30

C’est comme ça, parfois, certains sites changent de design et ça ne vous plaît plus. Ou comme moi vos yeux saignent avec toutes ces couleurs chatoyantes, et vous cherchez quelque chose de plus léger, plus sobre. Et bien grâce aux technologies Web modernes, et une petite extension nommée Stylus pour votre navigateur, vous pouvez changer ça. Et cerise sur le gâteau, certains ont déjà fait le travail pour vous, vous n’avez pas nécessairement besoin de créer votre style personnalisé, et donc d’avoir de grosses compétences. Elle est pas belle la vie ?

Au départ je devais parler de Stylish, mais les changements prochains dans Firefox m’obligent à changer d’extension.

Stylus est une extension de navigateur Web vous permettant de « remplacer » les règles CSS définies dans les feuilles de style du site visité par les vôtres. L’extension est disponible pour Firefox et Chrome (et apparemment Opera). À vérifier pour ceux qui ne sont pas officiellement supportés, mais qui pourraient être compatibles malgré tout (la galaxie de navigateurs basés sur Chromium, ou encore Iceweasel, même si l’intérêt de ce dernier est assez limité maintenant).

Les usages ? Personnellement, j’écrème les pages web de tous les éléments que je considère inutiles (en plus de ceux que je bloque via uBlock). Étant sous Linux, ça me permet parfois de corriger l’extrême paresse des développeurs qui ne testent que sous Windows, et font donc appel uniquement à ses polices de caractères, évidemment absentes par défaut sur les autres systèmes; pareil si pas de Webfont. Et enfin certains « bugs » liés à mon thème sombre sur GTK (Thème ARC, que je recommande vivement), qu’il est plus difficile à prendre en compte pour un développeur qu’une police manquante.

Mais je vous fais la démonstration de tout ça dans la vidéo. Bon visionnage (même si le son est pas super top :/) !

https://www.youtube.com/watch?v=D1zUZeWlKKs

PS : Il y a quelques approximations mais à ma décharge j’avais pas déjeuné 🙂

Comment se porte Let’s Encrypt ?

dimanche 24 septembre 2017 à 10:30

Philippe m’a récemment remonté à juste titre sur Twitter que mon article sur Let’s Encrypt sent un peu la naphtaline. Voyons donc un peu ce qui a changé, en bien ou en mal. Mais si, je vais bien trouver un truc mauvais dans cette histoire, en fouillant bien…

Un besoin grandissant, pour tous les types de structures

En effet, le chiffrement des communications devient un élément de plus en plus déterminant, que ce soit au niveau des navigateurs qui vont indiquer de plus en plus lourdement quand un site est « en clair » (surtout dans le contexte de la saisie de données), mais aussi par les moteurs de recherche, Google en tête, qui vont intégrer le chiffrement dans les critères de référencement; et je les soupçonne d’avoir déjà commencé.

Et c’est une évolution sur laquelle je guide beaucoup de clients depuis maintenant un peu plus d’an, que ça soit sur le passage à HTTPS au niveau de leurs sites, soit sur de bonnes pratiques quand il est déjà en place (mixed-content, configuration affreuse). Que ce soit via Let’s Encrypt ou pas d’ailleurs, les implications de l’utilisation du HTTPS sont souvent très mal perçues (voire pas du tout) par la majorité des non-techniciens.

Mes torts sur l’article original

Mes premiers reproches étaient surtout liés à mon installation plus ou moins bancale liée à ISPConfig plutôt que le logiciel lui-même. Ceci dit, encore maintenant il n’est pas toujours évident de savoir quel est la raison précise liée à une erreur (les multiples difficultés que j’ai rencontré ces derniers mois sur le renouvellement étaient liées à l’IPv6, mais pour comprendre ça, j’en ai chié).

Maintenant que j’ai eu l’occasion d’utiliser l’outil « officiel » sur pas mal de plateformes, j’ai une meilleure expérience à partager, d’autant que le système ne se résume pas qu’à son outil principal, c’est avant tout un protocole qui peut être implémenté avec plusieurs langages, certbot, parce que c’est son nom maintenant, est lui écrit en Python (et ça a son importance).

Certbot, un outil qui évolue constamment

J’ai connu les débuts, et les premières évolutions ou les besoins liés à Python 2.7 font mal quand on tente d’utiliser le client officiel sur des plateformes un peu anciennes (Centos 5 et même Centos 6), et c’est pas toujours évident d’avoir un fonctionnement propre; si au début le warning n’est pas méchant, aux premiers dysfonctionnements c’est la loose. Là ça m’est pas arrivé directement à moi, mais à un collègue qui a du reprendre quasiment tout à zéro sur la plateforme d’un de ses clients (une vingtaine de certificats, ça commence à piquer).

Ce n’est pas un mal, ACME, le protocole, est encore jeune dans l’absolu, l’outil aussi, et ses capacités, notamment d’automatisation, augmentent doucement avec le temps. Le passage dans le giron de l’EFF n’a pas eu d’influence sur le rythme de son développement (c’est pas toujours garanti), ce qui est à mon sens une bonne chose.

Il faut malgré tout un environnement qui tienne la route, et c’est pas toujours aussi facile quand on entre dans le monde réel qui n’a pas toujours décidé de tourner sur les dernières versions, qui met à jour son application une fois tous les 10 ans parce qu’on décide qu’un budget de maintenance « n’est pas utile » (spoiler : c’est une connerie, et au premier gros pépin de sécurité, je vous assure que vous vous réveillez).

Les projets alternatifs se sont organisés

La première fois que j’ai eu à me passer du client officiel, pour enregistrer un certificat sur une Debian 5 (oui, le monde réel est un peu plus compliqué que ce qu’on pense), les solutions alternatives n’étaient pas d’une grande fiabilité, et j’ai galéré pour en faire marcher un sans trop de difficultés; d’ailleurs trois mois plus tard impossible de renouveler le certificat, et le script utilisé alors n’était plus maintenu. Si j’avais pu modifier moi-même à l’arrache le machin pour obtenir un renouvellement, les nouveaux problèmes qui se sont posés trois mois après ont achevé la plateforme. Fort heureusement depuis la machine est partie à la retraite et l’on a pu migrer sur du CentOS 7.

Dernièrement pour les plateformes récalcitrantes (et encore, pas que), j’ai découvert acme.sh, qui n’a donc aucune dépendance à Python, et j’ai été surpris par la qualité de script et de sa documentation. Le fait qu’il intègre en plus la création de certificat utilisant les courbes elliptiques alors que ce n’est toujours pas pris en charge complètement dans le client officiel est assez intéressant (d’ailleurs si vous regardez le certificat du blog…), sa rapidité m’a plu aussi. En soi le niveau de verbosité n’est pas nécessairement plus intéressant pour le débug, mais bon, son installation est super simple, et même pour un simple dépannage (« coucou on doit passer en ligne dans 1h mais y’a un débile qui a pas commandé le certificat »), vous gagnez un temps fou comparé à certbot, qui doit créer le virtualenv, qui va tenter de se mettre à jour à chaque lancement, la procédure de vérification rendant tout très long.

J’ai également pu lire d’autres articles qui utilisent des projets plus ou moins similaires, ou surtout dédiés à certains types d’environnement. On voit aussi que la possibilité de « commander » un certificat s’est généralisé chez plusieurs hébergeurs de sites mutualisés, j’ai pu enregistrer un certificat pour le NAS de ma maman directement via l’interface dudit NAS sans avoir à bricoler (enfin presque, mais c’est lié à l’installation classique derrière une box), bref, il n’a jamais été aussi facile d’utiliser ce type de certificat, pour le plus grand bonheur des personnes qui pensent qu’il faut tout chiffrer. Et si c’est pas nécessairement une réponse parfaite (cherchez un peu « Interception TLS » sur votre moteur de recherche préféré, vous comprendrez), il n’y a que peu de personnes pour encore avancer que c’est inutile de mettre en place ce type de sécurité. Moi le premier.

Le futur de Let’s Encrypt ne fait pas du surplace

À moins d’un gros, gros pépin de sécurité provoquant un coup d’arrêt au projet (du style exploitation frauduleuse généralisée), sa large adoption devrait éviter à Let’s Encrypt de sombrer comme a pu terminer CACert, toujours vivant mais pratiquement inutilisable pour le commun des mortels. Les plus gros sponsors du début sont toujours là, certains ont même augmenté leur participation, au moins financière, c’est donc plutôt solide comme fondation pour garder l’infrastructure, le protocole, au moins une implémentation fonctionnelle, debout et vivant.

Et les évolutions arrivent, avec entre autres l’année prochaine le système « ultime », à savoir le certificat wildcard, qui permet de couvrir n’importe quel sous-domaine (niveau 3), sans avoir à le déclarer préalablement; alors qu’actuellement on est limité à 100 sous-domaines à déclarer explicitement. Ces certificats, qui existent déjà chez les fournisseurs classiques, coûtent ultra cher et sont habituellement réservés aux entreprises qui peuvent facilement absorber le tarif. Également au programme de l’année prochaine, la version « 2 » de l’API liée au protocole ACME, qui dépassera les frontières de l’EFF pour devenir un standard IETF, le but étant que le protocole soit exploitable non seulement par Let’s Encrypt, mais aussi potentiellement par d’autres autorités de certifications, dans le but de faciliter et de fiabiliser la délivrance et la mise à jour des certificats sur les plateformes de destination.

Bref, non seulement le bilan est bien moins dégueulasse qu’à l’époque de mes premiers tests (et je ne parle pas de mon installation, mais bien du paysage), mais en plus l’avenir s’annonce pour l’instant solide, et au moins pour des projets personnels, ou certains projets pros qui n’ont pas nécessairement de disposer d’une garantie financière qui est souvent la raison du cout d’un certificat, il est possible d’avoir une solution fiable, abordable, et automatisable.

Bref, longue vie à Let’s Encrypt 🙂