TLS automatique sur *.dmzgate.com — comment Let's Encrypt + GoDaddy DNS-01 fonctionne en coulisses

Quand vous créez un tunnel HTTP dans le panneau, il naît déjà avec https://votre-tunnel.dmzgate.com servant un certificat valide émis par Let's Encrypt. Pas de warning navigateur, pas d'auto-signé, sans avoir à lancer certbot. Qui a fait ça ?

Cet article est plutôt interne — pour ceux qui s'intéressent à l'infra. Si vous voulez juste utiliser, sautez.

Le problème

Let's Encrypt émet des certificats via deux challenges : HTTP-01 et DNS-01. HTTP-01 exige que le serveur réponde à une URL spécifique du domaine — pas automatisable par sous-domaine dynamique (chaque tunnel est un sous-domaine différent). DNS-01 exige de créer un TXT dans la zone DNS.

Pour émettre un certificat wildcard (*.dmzgate.com), seul DNS-01 marche.

La solution

Le domaine dmzgate.com est hébergé sur le DNS de GoDaddy, qui a une API. Chaque nœud (spo1, usa1, eur1, asi1) a un hook automatisé :

/usr/local/bin/godaddy-auth.sh    # crée le TXT _acme-challenge
/usr/local/bin/godaddy-cleanup.sh  # le supprime après

Quand certbot renouvelle (60 jours avant expiration), il appelle le hook, GoDaddy reçoit un PUT sur l'API, le TXT apparaît, Let's Encrypt valide, nouveau cert, hook nettoie le TXT. Tout automatisé.

Pourquoi GoDaddy et pas Cloudflare ?

Le domaine superdmz.com utilise lui-même le DNS Cloudflare (avec des A records des nœuds). Mais dmzgate.com (sous-domaine des clients) est sur GoDaddy car il était chez un autre registrar avant — migrer signifierait demander à tous les clients de mettre à jour leurs pointages. Ça ne vaut pas la peine.

Renouvellement

Chaque nœud renouvelle indépendamment, dans son propre certbot.timer systemd. Le cert expire à 90 jours et le renouvellement se déclenche à 60. Aujourd'hui (juin 2026) le cert le plus ancien de la flotte a 18 jours — tous synchronisés lors du dernier déploiement de parité Linux/macOS.