PONG
pour ceux qui veulent pour HAproxy / letsencrypt la conf A/A+ c'est au minimum
En global HAproxy:
[cpp] ssl-default-bind-options no-sslv3 no-tls-tickets
ssl-default-bind-ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
tune.ssl.default-dh-param 2048[/cpp]
En frontend https HAproxy:
[cpp] bind *:443 ssl no-sslv3 crt /etc/ssl/letsencrypt
http-response set-header Strict-Transport-Security max-age=31536000;\ includeSubdomains;\ preload
http-response set-header X-Frame-Options DENY
http-response set-header X-Content-Type-Options nosniff[/cpp]
sachant qu'il va chercher des certif complets et donc pour chaque domain (si on a pas un certif wildcard)
il suffit juste d'un script à placer en cron après le renew des certifs
[cpp] for domain in $(ls /etc/letsencrypt/live); do
cat /etc/letsencrypt/live/$domain/privkey.pem /etc/letsencrypt/live/$domain/fullchain.pem > /etc/ssl/letsencrypt/$domain.pem
done[/cpp]