Bon, ça fait plusieurs jours que j'essaie de faire marcher let's encrypt avec haproxy et j'y arrive pas
Je suis le tuto dédié : https://www.haproxy.com/blog/haproxy-and-let-s-encrypt
J'ai donc la config attachée au post (qui ne fait rien d'autre que renvoyer mon thumbprint acme si le chemin demandé contient '/.well-known/acme-challenge')
En http classique ça fonctionne nickel : si je curl sur http://domaine/.well-known/acme-challenge/aeiou il me renvoie aeiou.thumbprint ce qui est ce qu'il faut
Par contre dès que je curl en https j'ai droit à OpenSSL/3.0.13: error:0A000458:SSL routines::tlsv1 unrecognized name
Aidez moi s'il vous plait il fait trop chaud
#haproxy #LetsEncrypt

Bon comme y avait pas d'agent #HAProxy récent pour tourner sur du windows, j'en ai refait un en utilisant #powershell qui va créer une écoute sur un port TCP pour renvoyer les infos de charge CPU / RAM et définir un score de charge qu'il renverra au HAProxy pour faire du poids dynamique.

Maintenant, je veux créer un service Windows qui fera appel à ce script. Je vois plein de trucs utilisant des modules externes, mais y a pas un moyen tout clair et simple de faire un service avec des outils intégrés ?

@dvl Hi! Thanks for your blog post https://dan.langille.org/2025/05/03/implement-anubis-to-give-the-bots-a-harder-time/

I find it very useful.

https://www.mail-archive.com/haproxy@formilux.org/msg45917.html #HAProxy 3.2.0 was released, featuring an experimental ACME client, real QUIC support for OpenSSL 3.5 and a lot of other stuff.

Did a quick writeup of how I use #anubis behind #haproxy in my #homelab.

https://mktbs.net/blog/2025/05/19/running-anubis-behind-haproxy/

Thanks to @cadey for the project. Support them!

“AWS-LC looks like a very active project with a strong community. […] Even the recently reported performance issue was quickly fixed and released with the next version. […] This is definitely a library that anyone interested in the topic should monitor.”

#OpenSSL #BoringSSL #WolfSSL #AWSLC #HAProxy #OpenSource #FreeSoftware #FOSS #OSS #TLS #QUIC
https://www.haproxy.com/blog/state-of-ssl-stacks

Le numéro mai-juin de Linux Pratique (disponible en kiosque dans une semaine) contient mon nouvel article traitant de la gestion de #haproxy à l'aide de #terraform.
Si vous le lisez, n'hésitez pas à me partager vos retours

Ha aujourd'hui j'ai eu un client rigolo qu'a ouvert un ticket critique !
Il était en panique parce qu'il avait des réponses "200 504"... Alors déjà, le statut http c'est un seul nombre hein...

Bon du coup je regarde des logs, hé ba il paniquait pour rien évidemment : dans ses mots il avait effectivement "... 200 504 ...". 200, le statut HTTP, et 504, le nombre d'octets lus par #HAProxy depuis le serveur

#HAProxy v.3 Installationsanleitung

Mit Hilfe unserer Installationsanleitung für den HAProxy Version 3 stable (LTS) können Sie beispielsweise zwei verschiedene Cloud-Anwendungen parallel betreiben und diese mit LetsEncrypt Zertifikaten versorgen. Wir nutzen dafür einen Mixed Mode, also Layer 6 (http) und Layer 4 (tcp für https) in der HAProxy-Konfiguration.
Der HAProxy agiert dabei als klassischer ReverseProxy und kann auf Wunsch auch zum Loadbalancer erweitert werden.
Nachfolgend stellen wir dafür unsere HAProxy-Konfiguration aus dem Labor bereit. Diese nutzen wir bspw. für unsere Cloud-Testinstanzen (bspw. #Nextcloud und #opencloud auf einem dedizierten Server. Die SSL-Terminierung übernimmt dabei das jeweilige Backend, also Nextcloud und OpenCloud und nicht der HAProxy selbst. Der HAProxy reicht die https-Anfragen an die Anwendung durch und agiert im tcp-Mode (Layer 4) quasi transparent.
https://www.c-rieger.de/haproxy-installationsanleitung/

#CVE block #Next.js CVE-2025-29927 exploits with #HAProxy
https://www.haproxy.com/blog/protecting-against-nextjs-middleware-vulnerability-cve-2025-29927-with-haproxy

random #HAProxy tip:

"My app has an endpoint that streams data for a long time, and my clients keep getting disconnected". They're probably disconnected because, when data is streaming, HAProxy doesn't hear back from the client. You need to increase "timeout client", but you probably don't want to do that site-wide. Set a timeout specific to that endpoint:
http-request set-timeout client 2h if { path -m beg /index.php/apps/music/api/ }

Look what I've found while reading #haproxy docs : #YouPorn is implemented as a LAMP stack and serves 300.000 requests per second !
That's massive.

https://www.haproxy.org/they-use-it.html
https://highscalability.com/youporn-targeting-200-million-views-a-day-and-beyond/

This afternoon, I got close to what I wanted to achieve in terms of load-balancing between the two #AI #sabots I have running.

I had originally planned to use #OpenBSD's #OpenHTTPD or #RelayD to do the job, but #HAProxy #PROXY protocol was the limiting factor… so I went #nginx instead.

One thing I haven't worked out yet, is how to pass the client IP by PROXY protocol to a HTTP back-end. Seems I can do it for a generic TCP stream, but not HTTP.

The alternative is to set X-Forwarded-For, and have the back-ends trust it, like they trust PROXY for the gateway's IPv4 address for #sniproxy.

But… it works, you can hit https://sabot.vk4msl.com/ and you'll either get sabot01 (which uses nepenthes) or sabot02 (which uses iocaine). Since neither cares about the URI, I can bounce the client between them.

This did get me thinking though, if enough of us did it, we could have a #AISabotAsAService for websites to redirect/link to when they think they're being scraped by an AI bot.

We could provide a pool of servers that would provide the link maze. Front-end proxies would just bounce you between all the pool members, feeding your bot nonsense.

Ya des gens qui ont réussi à faire fonctionner du #LibreNMS derrière un #haproxy ? J'arrive pas à lui faire passer le ssl...