[Tuto] Synology HTTPS & Certificat SSL (StartSSL) pour ne pas avoir d'alerte de sécurité dans les navigateurs

[mafiaman42]

Comment cela se fait-il que tu ne peux accéder à cette adresse ?

Si tu possèdes un domaine chez eux (et non un sous-domaine), tu peux forcément te connecter à l'adresse pour récupérer le code, je ne comprends pas...

[Khaskouye]

L'adresse figure bien dans mon compte OVH mais je n'ai pas du capter comment accéder aux mais "postmaster"..une adresse que je n'ai jamais du paramétrer pour y accéder ?

[Spi]

Hello,

J'ai suivi hier ce tuto pour mes deux nas, il est vraiment AU POIL, un grand merci à toi @MilesTEG1 !

Bon pour ceux qui voudraient le suivre, il faudra un petit peu de jugeotte pour la partie concernant le site StartSSL, ils ont eu une refonte graphique et les menus ont un peu changés. Néanmoins celà reste très simple. :)

 

Différences majeures:

1) Je n'ai vu nul part que l'offre gratuite ne permettait d'enregistrer des sous domaines que pendant 30 jours. Voici les nouvelles conditions:

Citation

Unlimited Class 1 DV SSL certificates, 3 years, 10 domains;

Unlimited Class 1 Client Certificate for email encryption.

 

2) Le site livre maintenant une archive contenant les certificats par type de serveur: Apache, IIS, Nginx, & other.

Personnelement j'ai utilisé le "other" pour mes Syno, mais je pense que j'aurais pu/du choisir Apache.

 

Par contre, il faut trouver une nouvelle entité de certification...

Les certificats StartSSL seront revoqué fin janvier 2017, notamment dans Firefox 51 et ultérieurs.

Plus d'informations dans cet article.

 

PS: @Khaskouye tu dois aller dans le panneau d'administration OVH, définir le mot de passe de l'adresse postmaster (onglet email) puis t'y connecter en roundcube. Je peux te montrer si tu veux.

 

EDIT:

Je viens de tester les certificats Let's Encrypt proposé dans l'interface du Synology.

C'est super simple, ils sont valides 3mois et après il faut les renouveler, probablement à la main... À voir.

Après on utilise pas la clé privée de notre serveur (pas de bol), et impossible d'utiliser un sous domaine... C'est nomdedomaine.xxx

Pas pratique quand on a un nom de domaine à soi et qu'on veut utiliser la méthode comme dans le tuto avec nas1.mondomaine.xxx & nas2.mondomaine.xxx

En attendant une solution du côté StartSSL je pense que c'est la meilleure option.

 

Voila :)

Modifié le 6 janvier 2017 par Spi

[MilesTEG1]

Hello,

J'avais un peu oublié ce topic :D

Merci pour les retours.
Je vous avoue que l'été dernier j'ai laissé tombé StartSSL au profit de Let's Encrypt directement accessible depuis le NAS.
Donc je ne me suis pas préoccupé des nouveautés de StartSSL.

En ce qui concerne Let's Encrypt, le certificat se renouvelle tout seul, pas d'action à faire.
Enfin c'est comme ça sur les deux NAS que je gère depuis cet été :)

Par contre, la partir sur OVH reste d'actualité, il faut un nom de domaine.

 

Pour ton soucis Khaskouye, je ne saurais t'aider. Je ne me rappelle plus comment j'ai créé mon adresse... Quand je vais voir mon compte OVH, dans l'onglet emails, j'ai redirigé la postmaster vers une email gmail que j'avais créé pour ça à l'époque.
Regarde de ce coté là ;)

[Spi]

Hello Miles,

De rien pour le retour! J'ai perdu pas mal de temps vu qu'au final StartSSL n'est plus d'actualité mais j'aurais appris quelque chose. ;)

Concernant Let's Encrypt; perso je n'ai pas réussi à en créer un sur mon nom de domaine... Peut-être qu'il n'aime pas les .info ?

Si j'ai bien compris, tu as deux nas. Comment as-tu fait pour recevoir un certificat pour chacun? Le coup des sous domaine en nas1/nas2.nomdedomaine.xxx ne fonctionne pas avec Let's Encrypt d'après ce que j'ai lu.

Du coup il te faut un nom de domaine par serveur, c'est correct?

[MilesTEG1]

Je ne sais pas pourquoi tu n'as pas pu faire ce que j'ai fait avec mon .ovh... un .info c'est pareil je pense ;)

Les deux NAS sont pas au même endroit : un chez moi, l'autre chez mes parents.
Je n'ai rien fait de spécial pour avoir un certificat sur mes deux nas, j'ai suivi la procédure Let's Encrypt sur les deux et hop :)

Dans l'idéal il faudrait un ndd par serveur oui, mais comme j'ai dit, mon nas1.ndd.ovh et nas2.ndd.ovh ont eux chacun leur certificat...

Comment il est géré ton .info ? Chez OVH ?

[Mic13710]

J'ai fait un petit tuto pour le renouvellement des certificats startssl avec la nouvelle interface Startcom

[gaetan.cambier]

Super utile ... 

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

https://support.apple.com/en-us/HT204132

 

Tu peux renommer le topic ? 

[MilesTEG1]

il y a 16 minutes, Mic13710 a dit :

J'ai fait un petit tuto pour le renouvellement des certificats startssl avec la nouvelle interface Startcom

Bien vu :)
Merci pour ceux qui voudrait utiliser StartSSL :)
Perso je reste avec Let's Encrypt :p

il y a 11 minutes, gaetan.cambier a dit :

Super utile ... 

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

 

Tu peux renommer le topic ? 

Ha donc StartSSL c'est à fuir , c'est ça ?

[gaetan.cambier]

Je crois que les sources sont clair ...

C'est effectivement à fuir, de toute façon,  à partir de Chrome 56 et Firefox 51 qui arrive tous les 2 fin de ce mois (environ), les certificats vont provoquer une alerte de sécurité dans les navigateurs

--> en plus d'etre une authorité de certification "douteuse" comme expliqué dans les liens ils ne seront plus reconnu par la majorité (en % de visite) des navigateurs 

au passage, j'ai ajouter à mon post initiale la réponse pour MAC https://support.apple.com/en-us/HT204132

Microsoft semble par contre être aux abonné absent ou alors j'ai raté quelque chose, mais bon, çà ne change rien

[Spi]

Il y a 15 heures, MilesTEG1 a dit :

Je ne sais pas pourquoi tu n'as pas pu faire ce que j'ai fait avec mon .ovh... un .info c'est pareil je pense ;)

Les deux NAS sont pas au même endroit : un chez moi, l'autre chez mes parents.
Je n'ai rien fait de spécial pour avoir un certificat sur mes deux nas, j'ai suivi la procédure Let's Encrypt sur les deux et hop :)

Dans l'idéal il faudrait un ndd par serveur oui, mais comme j'ai dit, mon nas1.ndd.ovh et nas2.ndd.ovh ont eux chacun leur certificat...

Comment il est géré ton .info ? Chez OVH ?

Il est bien chez OVH oui, j'avais suivi ton tuto et créé les DynDNS pour les sous domaines nas1/nas2.nomdedomaine.info

Par contre, j'avais, lu qu'il fallait laisser le port 80 ouvert sur un article NextInpact, est-ce que tu confirmes?

En plus maintenant que j'ai les certificats via le domaine synology je ne peux plus les supprimer...

 

EDIT: J'ai trouvé l'astuce... Mon provider bloque le port 80 et je l'avais oublié. Voilà qui est réglé. Merci pour les conseils!

Modifié le 8 janvier 2017 par Spi
Solution trouvée

[MilesTEG1]

Haa :D Cool que tu aies trouvé d'où vient le soucis.
j'allais te dire que le port 80 devais obligatoirement être ouvert. Ou transférer via la routeur.

[Gegedj]

Bonsoir,

J'ai depuis ce matin créer un domaine sur ovh, j'avais voulu valider le certificat par StarCom mais bon vu vos commentaires je vais abandonné l'idée... De toute facon j'ai suivi le tuto https://it-tuto.com/synology-https-35-creation-certificat-startssl/ mais quand j'integre les 3 certificat dans le nas, sa me met "Clé privé illégale" ? Du coup sa m'a soulé oO

 

Par contre j'ai validé mon nom de domaine par let's encrypt mais quand je me connecte via firefox j'ai cela : Une erreur est survenue pendant une connexion à synoserv.mondomaine.ovh. Le pair ne reconnaît pas l’autorité de certification qui a délivré votre certificat et ne lui fait pas confiance. Code d’erreur : SSL_ERROR_UNKNOWN_CA_ALERT

 

Coté OVH j'ai mondomaine.ovh + dns (synoserv.mondomaine.ovh) + boite mail (mail@mondomaine.ovh), j'ai donc créée le certificat via l'outils du nas, il demande juste le nom de domaine, j'ai mis mon dns synoserv.mondomaine.ovh + le mail mail@mondomaine.ovh.

 

J'ai loupé quelques choses ?

 

 

[Gegedj]

Moué j'ai trouvé, je suis trop nul, j'avait pas pris le bon fichier a importer au nas ^^

[Spi]

Supprime les certificats StartSSL, ils ne sont plus reconnus... Pour pouvoir les supprimer tu dois définir le Let's Encrypt en certificat par défaut. Justement je suis étonné de ton commentaire, c'est bien plus simple via Let's Encrypt que StartSSL, un port à ouvrir et 3 clics. :) Dis nous si tu as besoin d'aide.

Le 09/01/2017 à 18:44, MilesTEG1 a dit :

Haa :D Cool que tu aies trouvé d'où vient le soucis.
j'allais te dire que le port 80 devais obligatoirement être ouvert. Ou transférer via la routeur.

Yes merci! :), la config était bonne de mon côté en fait. Je ne savais juste pas qu'il fallait que je me connecte sur mon compte client Proximus pour ne pas les citer et ouvrir le port. En général je ne pense pas que les provider le font mais c'est quelque chose à prendre en compte. Comme savoir que Voo fait du double NAT mais là on s'éloigne du sujet. :D