YunoHost 2.5.0 Beta - Call for beta-testers and translators

Thanks ! :slight_smile:

Indeed ! It checks every days. The certificate is renewed once the validity is below 15 days (so that should be 2.5 months after setting it up)

Yes, a notification is sent by email to root if some renewal fails.

Cheers !

Well, it deserves it, as the interface is simple, and include everything a normal user should have in his/her UI.

Sounds good enough, in case of trouble it should be sufficient to fix the issue before the end oft he cert validity.

Perfect :slight_smile:

I can’t wait to test it, sound like Yunohost’s team did a great job again :slight_smile:

PS: btw, subscribed to English and French translation projects (and also Spanish and Italian, but I’m not sure I can help a lot ^^)

1 Like

Est-ce que le fait que LE soit installé d’office nous oblige à l’utiliser ? :frowning:

.

Non.

1 Like

Wow that’s great, guys !
I think in January I will use an InternetCube / BriqueInternet in testing and another one in stable for my actual server with real data on it. I know backup is not an option whichever server I use :slight_smile:
Thanks for all you are doing, I hope I will be able to help (having a testing server is a first step) \o/

Hello everyone,

We’ve just published another beta release, this time for yunohost core and for moulinette (the framework used by yunohost). Like for the previous time you can simply install it using:

apt-get update && apt-get dist-upgrade -y

Those new release mostly include (quite some) bug-fixes (especially those damn admin user doesn't exist and his friend another instance is running). The only small improvement are the possibility to extend dovecot configuration (mostly used by apps) and the listing of the available domains when installing an application in cli (and chose by default the default domain).

Here are the changelog of yunohost core:

LDAP admin user
  • [fix] Wait for admin user to be available after a slapd regen-conf. This fixes an issue arising during install on slow hardware/vps.
Dovecot/emails
  • [enh] Reorder dovecot main configuration, so that it is easier to read and extend
  • [enh] Allow for dovecot configuration extensions
  • [fix] Check if dovecot is up to fetch mailbox used space
Backup
  • [fix] Create archives_path even for custom output directory
  • [fix] Keep track of backups with custom directory (using symlinks)
Security
  • [fix] Improve dnssec key generation on low entropy devices
  • [enh] Add haveged as dependency to increase available entropy (relevant for virtual servers)
Random broken app installed on slow hardware
  • [enh] List available domains when installing an app by CLI.
Translation
  • French by Jibec and Genma
  • German by Philip Gatzka
  • Hindi by Anmol
  • Spanish by Juanu
Other fixes and improvements
  • [enh] Remove timeout from cli interface
  • [fix] Missing ‘python-openssl’ dependency for Let’s Encrypt integration.
  • [fix] --no-remove-on-failure for app install should behave as a flag.
  • [fix] Don’t remove trailing char if it’s not a slash, when generating SSOwat conf

Thanks to all contributors: Aleks, alex, Anmol, Bram, Genma, jibec, ju,
Juanu, ljf, Moul, opi, Philip Gatzka and to the people who are participating
to the beta and giving us feedback <3

And off moulinette:

Random broken apps installation
  • [enh] don’t timeout by default on cli
Other fixes
  • [fix] syntax error in python would avoid catching excepted exception
  • [fix] forgot to add self to method signature
  • [fix] edgy bug on slow hardware, especially on our (futur) CI
Translations
  • Hindi by Anmol

Thanks to all contributors: Anmol, Bram, Moul <3

As we’ve done everything what we want to include for the next stable release, I would be great if you could heavily test those beta releases! And same for translation :slight_smile:

If no new bugs are found, we will probably do a stable release during the next 2 weeks :smile:

And for those of you that might wonder about not being useful if YunoHost is already marked as “100% translated” in your language, you can read this article (in french) by jibec (who is one of the french translator of YunoHost)

Thanks to all our contributors and thanks you all for your help, feedback and support :heart:

2 Likes

Hey ! First, thanks for all the good work on Ynh !
Though ATM I’m having some issues regarding the new Letsencrypt integration :

The admin GUI seems to think that the Letsencrypt app is installed… It kinda displays the conflict error message – actually just the handlebar (or whatever youse lads are using, dunno :worried:) named certificate_old_letsencrypt_app_conflict.
So, I’ve got 2 issues for you :slight_smile: Why is the admin GUI seemingly unable to find and display the proper error message ? And, why does it thinks that letsencrypt_ynh is installed, when it is not ?

Thanks for any help – anyway, thanks for YunoHost !

—FRENCH TRANSLATION / TRADUCTION EN FRANÇAIS
Hello ! Tout d’abord merci bcp pour Yunohost et tout le boulot que vous faites !
J’ai toutefois un léger souci avec l’intégration Letsencrypt, puisque l’interface d’admin. ne me permet pas de l’utiliser !
Elle semble penser que j’ai le plugin letsencrypt_ynh d’installé, alors que ce n’est pas le cas… et en +, elle ne m’affiche pas le message d’erreur complet, mais seulement l’identifiant de la handlebar correspondante (certificate_old_letsencrypt_app_conflict).
Une idée ? Merci d’avance – et merci dans tous les cas, pour Yunohost !

EDIT 1 : Added french translation
EDIT 2 : Added this message

@perfaram :
J’ai résolu ça tout seul, finalement. J’ai utilisé la moulinette en ligne de commande, sans passer par l’admin graphique donc : yunohost domain cert-install mondomaine.tld
Ce qui a marché ! Et depuis, ça semble avoir “débloqué” l’interface graphique… elle affiche tout comme il faut !

— ENGLISH TRANSLATION / TRADUCTION ANGLAISE
I solved it by myself… had to use the moulinette thru the command-line, that is to say, without using the admin GUI. Here’s the command : yunohost domain cert-install domain.tld
And not only it allowed me to use Letsencrypt certs, but it also unlocked the feature to be used through the GUI. It works perfectly !

3 Likes

Bonjour @Moul @Bram,

Je suis passé sans encombre de la version 2.4.x à la 2.5.x (eeeBox Asus EB 1007 64bits 2Go de RAM avec YunoHost installé sur une base Debian 8 via le script https://yunohost.org/#/install_on_debian_fr).
Le seul truc … ne sachant pas quoi répondre … c’est que j’ai validé la proposition par défaut (conserver la configuration) lors de la mise à niveau au sujet de rmilter. J’ai bon ?

Sinon j’ai pu faire certifier par Let’s Encrypt mon domaine principal via la gestion du certificat SSL du panel.

Encore merci de maintenir et faire évoluer YunoHost <3 !

ppr


Hi @Moul @Bram,

I went smoothly from version 2.4.x to 2.5.x (eeeBox Asus EB 1007 64bits and 2Go de RAM with YunoHost installed on a Debian 8 via the script https://yunohost.org/#/install_on_debian_en).
The only trick … not knowing what to answered … is that I have validated the default proposal (keep the configuration) when upgrading about rmilter. I’m good?

Otherwise I could have Let’s Encrypt certify my main domain via SSL certificate management of the panel.

Still thank you for maintaining and evolving YunoHost <3 !

ppr

Excuse me for my English :wink:

1 Like

Okay, merci pour le test et le feedback ! Quelqu’un d’autre a rencontré un bug similaire avant toi je crois, j’ai donc ouvert un ticket sur le bugtracker : https://dev.yunohost.org/issues/671

A+ !

@Moul @Bram @CaptainSqrt2,

Suite à l’upgrade v2.4.x à v2.5.2, j’ai certifié mon domaine principal via le panel et Let’s Encrypt.
J’ai fait un test sur ssl labs https://www.ssllabs.com/ssltest/ et j’obtiens un score à “B” car “This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO” > https://weakdh.org/ | https://weakdh.org/sysadmin.html (chercher la rubrique nginx).
Je ne m’y connais pas du tout dans ce genre de chose, mais si ça peut aider à faire évoluer la v2.5.x … :wink:

ppr

1 Like

Oep, on est au courant. C’est un problème différent que celui de gérer le certificat. Il y a un ticket ouvert depuis pas mal de temps dessus : https://dev.yunohost.org/issues/92 . Il traine quelque part dans ma todo… Le problème est surtout lié aux architectures “lentes” (e.g. Raspi / Briques) sur lesquelles ça prends du temps. Mais on devrait finir pondre un truc qui fait le taf ;).

Et je confirme que ça prends vraiment longtemps… (faut lancer avant d’aller dormir ^^)
De mon côté j’ai “résolu” le problème en désactivant les ciphers DH, je garde que celles à base de ECDHE.
Donc c’est pas compatible avec tout les navigateurs, mais pour du logiciel relativement récent (type navigateur de moins de 5ans) ça passera sans encombre - et ça convient pour mon matériel.
(Je donne l’information comme ça, je suppose que pour yunohost c’est pas la meilleure solution ^^)

1 Like

Pas nécessairement si on utilise les bonnes options et qu’on a de bonnes sources d’entropies sur la machine :P. Dans le post du ticket, je mentionne justement que l’option -dsaparam permet de générer les paramètres DH beaucoup plus vite, sans réduire la sécurité (d’après le milieu universitaire). Avec les tests que j’ai fait, cela prennait ~1 minute sur un Raspi 2 pour des paramètres de 2048bits.

Si, ça c’est intéressant, je ne savais pas que les paramètres DH étaient liés à des ciphers particuliers ! Il y a un autre ticket ouvert qui propose de mettre en place un système pour choisir les ciphers que l’on veut activer. (Et perso j’aurais tendance à croire que peu d’utilisateurs Yunohost sont intéressés par le fait de supporter des navigateurs vieux de plus de 5 ans)

Pour l’entropie c’est bon, par contre pour les options je suis curieux d’essayer. Mais va falloir que je regarde ce que fait cette option, ça semble trop simple ^^
1 min sur un raspberry 2 ? Alors ça vaut clairement le coup par défaut, c’est un peu long mais avec les bons logs (un petit message l’indiquant par exemple) ça me semble peu problématique.

Je suis loin d’être un expert sur le sujet, mais de ce que j’en ai lu/compris, seules les cipher DHE bénéficient de cette clé que l’on génère, pas les ECDHE.

J’ai dis ça à la louche, SSL Labs indiquerait même plus vieux, en gardant TLS 1.0. (je l’ai fais quand même, sait-on jamais ça pourrait dépanner, même si j’ai configuré nginx pour qu’il passe en priorité par TLS 1.2)
Voilà ce que ça donne chez SSL Labs, avec d’autres paramétrages certes mais pas grand chose de plus (je suis passé de A à A+)

Comme paramétrage par défaut, ça me semble déjà bien ^^

Je peux m’occuper de la traduction en allemand.

Awesome! I’ll go and upgrade in a bit. But do I need to remove the LE application first before the upgrade?

Yunohost should ask you to if you attempt to use the new built-in feature. (We’re actually pretty interested in knowing if it does indeed ask you it correctly, especially from the yunohost-admin where some weird bug is present at the moment :P)

Super, merci :heart:

Yes, as specified, otherwise YunoHost will tell you to do so and refuse to execute its LE code.

This core integration of LE in YunoHost as been done by the same person than the one who did the application :slight_smile:

I’ve upgraded to the 2.5.0 beta, and removed the LE plugin after upgrade. Turns out the plugin didn’t uninstall properly because it left the same config and did not fully remove the certificate references. Which, obviously, led to nginx complaining about the cert not existing. Attempting to access the interface gave a “Address unavailable.mjk” I solved this by using “certbot certonly” with standalone option and nginx started successfully.
Yunohost’s CLI tool itself actually complained about nginx not being up when trying to cert-install a domain. Once the issue was fixed, I got this:
```
Warning: Unable to execute command 'service nginx reload’
Success! The SSOwat configuration has been generated
Error: Wrote file to /tmp/acme-challenge-public/Tq2lepjs2Sk5fKUeggnZ0F9WmZdOCq3FRbkNDmOGrsU, but couldn’t download http://gandalf.kthxbai.xyz/.well-known/acme- challenge/Tq2lepjs2Sk5fKUeggnZ0F9WmZdOCq3FRbkNDmOGrsU
Error: Certificate installation for gandalf.kthxbai.xyz failed !
Exception: [Errno 22] Signing the new certificate failed

1 Like