Task Type: Amélioration
Category: tous les plans
Status: Finished
Comme vous le savez, chez OVH, on est soucieux de la sécurité et de la vie privée. C'est pour cela que lorsque Let's encrypt s'est lancé, nous avons souhaité soutenir cette initiative afin que de nombreux sites puissent déployer HTTPS.
Avec plusieurs millions de sites hébergés chez nous, nous avons conscience que nous pouvons jouer un rôle important pour généraliser le chiffrement sur Internet. Alors, on s'est demandé comment avoir le plus d'impact possible ! Nous aurions pu proposer d'activer gratuitement le protocole HTTPS sur les sites web avec un bouton dans l'espace client. Mais ce n'était pas encore assez simple selon nous.
Alors on a choisi d'activer le protocole HTTPS et de chiffrer les communications pour tous les sites de nos hébergements web. Tous. Sans exception. Y compris les sites existants.
Nous avons actuellement généré un certificat pour 95% des comptes hébergements web que nous gérons (ça se voit sur les graphes de Let's encrypt depuis début mai : https://letsencrypt.org/stats/). Il nous reste quelques cas à traiter sur nos 1.5 Millions de comptes, mais il est très probable que votre hébergement web possède déjà un certificat.
De notre coté, il a fallu changer quelques morceaux de notre infrastructure. Car se mettre à chiffrer le flux de plusieurs millions de sites ne se fait pas si facilement. Pour cela, nous avons utilisé une nouvelle brique de load balancing qui est capable de gérer tout le flux chiffré. Si vous voulez l'essayer, nous la proposons en bêta depuis quelques jours.
Cette brique de load balancing, nous sommes en train de la déployer en production à la place de nos anciens load balancers. Cela nous prend un peu de temps, pour nous assurer que le service continue d'être fourni sans failles. Actuellement, 4 clusters sont déjà passés sur ce nouveau load balancer :
cluster012 (1000gp)
cluster013 (20gp)
cluster002 (90plan)
cluster007 (xxlplan)
Vous pouvez connaître le cluster de votre hébergement web sur votre espace client, dans le champs "Accès au cluster". Les autres clusters seront tous migrés dans les prochains jours. Nous indiquerons les clusters déployés dans cette tâche travaux.
Alors, si vous êtes concerné par l'un de ces 4 clusters, comment bénéficier du HTTPS ?
Aucune manipulation n'est requise, c'est déjà activé !
Vous n'avez qu'à ajouter le "s" de HTTPS dans votre url et c'est bon.
Attention, il se peut que le code de votre site ne soit pas pleinement compatible avec HTTPS. Dans ce cas, nous avons rédigé un guide qui indique les principaux soucis à résoudre : https://www.ovh.com/fr/g2220.eviter_les_pieges_de_ssl_avec_mon_site_web
Comme on a souhaité que vous vous posiez le moins de questions possibles, l'ensemble de vos multisites sont accessibles en HTTPS. C'est à dire que le certificat de votre site comprend l'ensemble des sites que vous rendez accessibles depuis votre compte d'hébergement web. Toujours rien à faire
Enfin, pour tous ceux qui ont déjà un SSL, nous ne vous oublions pas. Nous allons proposer d'autres types de certificats d'ici quelques jours et vous serez migrés vers ces nouveaux certificats. Nous vous tenons au courant prochainement.
Nous avons aussi dans les tuyaux le CDN compatible SSL. On a encore un peu de travail dessus avant de le proposer correctement, mais ça arrive aussi.
Cordialement,
L'équipe hébergement web
Comments:
Date: Fri, 13 May 2016 15:57:45 +0200
Vous êtes nombreux à nous indiquer que votre site en HTTPS vous retourne une erreur telle que "Your connection is not secure".
Cela arrive lorsque vous n'avez pas de certificat SSL actif sur votre site. Cela arrive dans de nombreux cas :
- Vérifiez que votre site est bien sur l'un des 4 clusters déployés (cluster012, cluster013, cluster002 ou cluster007).
- Si c'est le cas, vérifiez que vous n'avez pas de CDN sur votre offre. Le CDN n'est pas encore compatible SSL.
- Si c'est le cas, vérifiez que votre domaine pointe bien vers l'adresse IP de votre hébergement web. L'IP de votre hébergement web se trouve dans votre espace client, dans le champ "IPv4".
- Si c'est toujours le cas, il se peut que votre certificat ne soit pas encore généré et fasse parti des 5% de certificats en cours de génération. Ne vous inquiétez pas, c'est en cours et l'ensemble des certificats devraient être disponibles dés la semaine prochaine.
N'hésitez pas à faire vos feedbacks sur web@ml.ovh.net (inscription sur web-subscribe@ml.ovh.net)
Date: Tue, 17 May 2016 19:01:23 +0200
Nous préparons actuellement le déploiement de nouveaux clusters. Durant ce déploiement, nous nous sommes rendus compte d'un soucis sur certaines de nos IPLB risquant d'impacter le service lors des pics de charge. Nous avons fait le choix de réinitialiser la configuration de ces IPLB.
Nous avons désactivés le cluster007 basé sur l'une de ces IPLB le temps de l'opération. Ce cluster devrait de nouveau être disponible dés demain.
Date: Wed, 18 May 2016 12:30:51 +0200
L'IPlb a été reconfigurée correctement.
Nous venons de remettre le cluster007 (xxlplan) derrière nos IPLB. Ainsi, ce cluster bénéficie de nouveau des certificats SSL.
Date: Fri, 20 May 2016 16:14:56 +0200
Depuis quelques jours, nous avons fixés quelques bugs sur nos load balancers. Nous attendons que ces bugs soient fixés avant de continuer la mise en production des nouveaux clusters afin d'éviter toute interruption de service.
Date: Fri, 20 May 2016 17:24:14 +0200
Nous venons de déployer un nouveau cluster : le cluster006 (mediaplan)
Il y a donc actuellement cinq clusters qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster012 (1000gp)
cluster013 (20gp)
Nous ajouterons d'autres clusters à partir de lundi.
Date: Mon, 23 May 2016 11:40:40 +0200
Nous avons eu une coupure à 11h30 durant deux minutes du flux HTTPS.
Après investigation, nos IPLB ont perdu leur annonce BGP et le trafic a été redirigé vers les anciens load balancers.
Cette perte a été causée suite à une saturation des ressources.
Nous venons d'ajouter de nouvelles ressources aux IPLB des hébergements web afin d'éviter de tomber de nouveau sur ce bug.
Nous travaillons aussi sur un fix qui va empêcher la perte de l'annonce BGP même lorsque certains plafonds de ressources sont atteints, et éviter ainsi la perte de tout le flux chiffré.
Date: Mon, 23 May 2016 12:14:04 +0200
Nous venons de déployer un nouveau cluster : le cluster011 (300gp)
Il y a donc actuellement six clusters, soit 50% de notre parc, qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
Nous regardons comment réagissent nos infrastructures durant quelques heures avant de continuer le déploiement.
Date: Mon, 23 May 2016 17:32:01 +0200
Nous venons de déployer un nouveau cluster : le cluster003 (240plan)
L'ajout de ressources de ce matin s'est déroulé sans coupure.
Il y a donc actuellement sept clusters, qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster003 (240plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
Si tout se passe bien, nous continuons demain
Date: Tue, 24 May 2016 11:13:54 +0200
Hier soir, une défaillance sur l'une des machines IPLB a perturbé la livraison du trafic HTTPS (uniquement le trafic chiffré) durant une heure.
Des fixs sont appliqué dès ce matin et les équipes IPLB vont vérifier le bon fonctionnement durant toute la journée.
Afin de ne pas fausser cette surveillance, nous n'allons pas ajouter de nouveaux clusters aujourd'hui.
Date: Thu, 26 May 2016 15:39:21 +0200
Ce mercredi, le cluster 003 a subi une attaque DDOS. La plus grosse depuis que nous utilisons le nouveau load balancing. Il a bien sur été pris en charge par l'anti DDOS OVH.
Cette attaque nous a permis d'identifier des améliorations possibles afin que les DDOS soient détectés beaucoup plus rapidement et qu'ils ne se fasse pas ressentir du tout par les visiteurs légitimes. Nous avons décidé de coder ces améliorations et de les déployer avant de continuer le déploiement de nos clusters.
Nous avons aussi retiré le cluster003 le temps de déployer ces améliorations.
La mise en prod est prévue cet après midi et nous avons choisis d'observer le fonctionnement des IPlb jusque lundi avant de reprendre le déploiement de nouveaux clusters.
Date: Thu, 02 Jun 2016 15:30:03 +0200
La mise en place des améliorations anti DDOS ont pris plus de temps que prévu. Nos équipes travaillent toujours activement dessus afin de déployer de nouveaux clusters le plus rapidement possible.
Nous vous tiendrons au courant lorsque les déploiements de clusters auront repris.
Date: Mon, 06 Jun 2016 18:05:59 +0200
Bonjour,
Le déploiement des améliorations anti DDOS avance bien. Afin de vérifier que tout fonctionne correctement, nous allons tester ce nouvel anti DDOS sur le cluster012 (1000gp) demain matin entre 10h et 11h (heure de Paris).
Si vous avez des soucis sur ce cluster durant cette plage horaire, n'hésitez pas à nous alerter sur web@ml.ovh.net (inscription sur web-subscribe@ml.ovh.net) ou sur les forums de OVH (forums.ovh.com)
Date: Tue, 07 Jun 2016 10:14:11 +0200
Les tests viennent de démarrer. Nous surveillons les sites du cluster012. Si vous avez des comportements anormaux, contactez nous.
Date: Tue, 07 Jun 2016 11:13:04 +0200
Fin de tests. Retour à la normal pour le cluster012.
Nous n'avons pas vu d'anomalies sur le trafic. Nous allons donc continuer les tests cet après midi.
Nous passerons le cluster015 (mediaplan) sous l'anti DDOS de 15h30 à 16h30.
Date: Tue, 07 Jun 2016 15:42:44 +0200
Nous commençons les tests sur le cluster015
Date: Tue, 07 Jun 2016 16:38:28 +0200
Cela fait une heure que les améliorations ronronnent sur cluster015 (mediaplan).
Nous continuerons prochainement avec d'autres clusters afin de valider le bon fonctionnement de l'ensemble.
Date: Wed, 08 Jun 2016 16:42:03 +0200
Nous allons effectuer les tests d'anti DDOS sur le cluster 013 (20gp) de 17h à 18h.
Si vous rencontrez des soucis durant cette heure, merci de nous les remonter sur web@ml.ovh.net (inscription sur web-subscribe@ml.ovh.net) ou sur les forums de OVH (forums.ovh.com)
Date: Wed, 08 Jun 2016 18:34:25 +0200
Tout s'est bien passé.
Nous continuons les tests demain.
Date: Thu, 09 Jun 2016 10:14:56 +0200
Nous continuons les tests d'anti ddos ce matin.
Les clusters 006 (mediaplan) et 012 (1000gp) sont actuellement sous anti ddos.
Si vous rencontrez des soucis, merci de nous les remonter sur web@ml.ovh.net (inscription sur web-subscribe@ml.ovh.net) ou sur les forums de OVH (forums.ovh.com)
Date: Thu, 09 Jun 2016 13:32:45 +0200
Nous allons déployer tous les autres clusters déjà activé en anti DDOS. Cela concerne les clusters
cluster002 (90plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
Si vous rencontrez des soucis, merci de nous les remonter sur web@ml.ovh.net (inscription sur web-subscribe@ml.ovh.net) ou sur les forums de OVH (forums.ovh.com)
Date: Thu, 09 Jun 2016 17:48:24 +0200
Les tests se déroulent bien. Il reste encore quelques tests à effectuer puis à déployer le nouvel anti ddos sur l'ensemble de l'infrastructure.
En attendant, nous venons de déployer les boutons d'activation et de désactivation du certificat SSL Let's encrypt au sein de l'espace client de OVH.
C'est bien sur effectif sur les 6 clusters déployés. Pour les autres, le certificat sera prêt à fonctionner le jour J.
Date: Mon, 20 Jun 2016 14:26:43 +0200
Nous avons réalisé une série de tests sur nos load balancers depuis deux semaines. Certains ont mis le doigt sur des instabilités possibles et l'équipe en charge des loads balancers finalise actuellement les patchs afin d'éviter de rencontrer ces cas en production.
Une fois ces fixs appliqués, nous redémarrerons la migration des clusters restants vers les nouveaux load balancers.
Date: Mon, 20 Jun 2016 18:44:47 +0200
Toutes les améliorations sont prête et ont validés les tests de stabilité. Elle seront déployées en production mardi 21 juin. Durant l'opération, les installations et déinstallations de certificats seront mise en pause.
Date: Tue, 21 Jun 2016 09:14:36 +0200
Le déploiement commence, l'installation et déinstallation de certificat est en pause.
Date: Tue, 21 Jun 2016 19:05:17 +0200
Les améliorations ont été déployées en production, les installations et déinstallations de certificats sont de nouveau actives.
Date: Tue, 28 Jun 2016 11:03:35 +0200
L'ensemble des tests sont désormais terminés.
C'est l'heure de reprendre la migration des clusters !
Nous allons annoncer le cluster003 (240plan) sur l'IP load balancing.
Date: Tue, 28 Jun 2016 16:47:04 +0200
Depuis ce matin, le cluster003 bénéficie aussi du protocole HTTPS.
Ainsi, les clusters qui bénéficient du protocole HTTPS sont :
cluster002 (90plan)
cluster003 (240plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
Nous continuerons de déployer d'autre clusters dans les jours qui viennent si tout se passe bien.
Date: Wed, 29 Jun 2016 14:43:07 +0200
Aprés plusieurs semaines de tests, nous sommes actuellement en train d'activer la détection anti DDOS sur l'ensemble des clusters déjà migrés.
La protection devrait être totalement déployée d'ici 1 heure.
Les prochains clusters déployés seront automatiquement pris en charge par la détection anti DDOS.
Date: Wed, 29 Jun 2016 15:35:54 +0200
Nous commençons à migrer un nouveau cluster : cluster014 (start).
Date: Wed, 29 Jun 2016 17:50:21 +0200
Le cluster014 est désormais migré vers les nouveaux load balancers.
Il y a donc actuellement huit clusters, qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster003 (240plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
cluster014 (start)
Date: Wed, 29 Jun 2016 17:57:36 +0200
Depuis quelques jours, nous avons activé la création automatique du certificat SSL lors de la création des nouveaux hébergements web. Ainsi, tous les nouveaux comptes bénéficient du protocole HTTP dés leur installation.
La création du certificat prend un peu plus de temps lors de la création d'un compte : il faut attendre une à deux heure. En effet, il faut attendre que la configuration DNS soit déployée jusque Let's encrypt.
Date: Wed, 29 Jun 2016 18:32:42 +0200
Le cluster010 est désormais migré vers les nouveaux load balancers.
Il y a donc actuellement neuf clusters, qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster003 (240plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster010 (60gp)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
cluster014 (start)
Date: Thu, 30 Jun 2016 13:06:28 +0200
Le cluster005 est désormais migré vers les nouveaux load balancers.
Il y a donc actuellement dix clusters, qui peuvent bénéficier du HTTPS :
cluster002 (90plan)
cluster003 (240plan)
cluster005 (720plan)
cluster006 (mediaplan)
cluster007 (xxlplan)
cluster010 (60gp)
cluster011 (300gp)
cluster012 (1000gp)
cluster013 (20gp)
cluster014 (start)
Date: Thu, 30 Jun 2016 18:36:20 +0200
Aujourd'hui, trois nouveaux clusters ont été déployés : cluster015 (mp), cluster017 et cluster005 (720plan), déjà indiqué ce matin.
Il y a donc 12 clusters qui peuvent bénéficier du HTTPS.
...
Ce qui signifie que l'ensemble des clusters d'hébergement web bénéficient désormais du protocole HTTPS !
IPv6 a aussi été activé sur l'ensemble de ces clusters.