Les certificats TLS sont indispensables pour garantir le chiffrement des communications, quelque soit le protocole : HTTP, SMTP, STUN/TURN…
Ils ont une durée de validité de 90 jours et doivent être renouvelés régulièrement auprès de notre autorité de certification, Let’s Encrypt.
Nos renouvellements de certificats s’effectuaient tous auparavant avec l’image certbot/dns-ovh, exécutée à travers un script inscrit dans le fichier crontab :
- les renouvellements de certificat concernant les domaines appartenant à l’association s’effectuent par challenge DNS (OVH) ;
- les renouvellements des domaines du service mail (autoconfig, autodiscover) sont réalisés par la méthode webroot.
Depuis, nous avons progressivement supprimé la plupart des tâches récurrentes liées à la gestion des certificats :
- Depuis l’adoption de Caddy comme reverse-proxy, nous déléguons le renouvellement des certificats à Caddy pour tous les services web que nous proposons ;
- Par conséquent, nous n’avons plus besoin de tâches récurrentes pour le renouvellement de l’agrafage OCSP, qui est géré nativement par Caddy.
- Le renouvellement des domaines du service mail (autodiscover et autoconfig) est également réalisé par Caddy.
- Nous avions auparavant besoin d’un certificat pour le serveur TURN/STUN (coturn) : depuis notre migration vers Element Web, le trafic passe par les ports web standard, donc par Caddy.
Le seul script qui nous reste est utilisé pour le service mail et est disponible ici.