This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

CoolRaoul

Reverse proxy avec NGINX (restauré)

55 messages dans ce sujet

Si tu souhaites conserver un wildcard, tu n'as que 2 possibilités :

  • passer à la caisse
  • utiliser ta propre autorité (donc à installer dans tous tes clients)

Sinon avec letsencrypt, tu peux créer plusieurs certificats, c'est ce qu'a fait @Mic13710 par exemple.

À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public

Partager ce message


Lien à poster
Partager sur d’autres sites

et il se passe quoi si j'utilise pas propre autorité (d'ailleurs est-ce un certificat auto-signé ou autre chose ?), sans l'installer sur tous les clients ?

1) c'est crypté, mais pas authentifié (pas d'adresse en vert) ?

2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services

3) c'est dangereux dans le sens ou ça peut être usurpé ?

car sans wildcard, l'interet du reverse proxy que je faisais par sous-domaines est plus que discutable dans mon cas.

sinon des redirection par ports feraient le boulot ou par url genre

https://mondomaine.fr/service au lieu de https://service.mondomaine.fr

moi ce qui m’intéresse c'est que le traffic, notamment mot de passe,... ne passe pas en clair... 

c'est la lose, là toute mon organisation tombe à l'eau :cry:

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 35 minutes, pitch78 a dit :

1) c'est crypté chiffré, mais pas authentifié (pas d'adresse en vert) ?

la connexion sera chiffrée et authentifiée, par contre si l'autorité n'est pas dans ton navigateur, tu auras un avertissement (pas en vert)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

nb : le fait que la barre d'adresse soit en vert n'est pas un gage de confiance absolu que tu es sur le bon site, c'est juste un indicateur raisonnablement fiable

il y a 37 minutes, pitch78 a dit :

2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services

ça non, ton navigateur te bloque l'accès parce que le certificat est invalide (car blacklisté), avec un certificat valide mais non reconnu tu as juste un avertissement (ce qui n'est pas bien non plus)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

il y a 39 minutes, pitch78 a dit :

3) c'est dangereux dans le sens ou ça peut être usurpé ?

ni plus ni moins qu'avec un autre certificat "valide" (digicert&co), la seule différence c'est que dans un cas tu te fais confiance et dans l'autre tu fais confiance à un organisme tiers (cf les soucis de google avec comodo ou plus récemment la fraude de starcom qui t'a emmené ici)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

==============

Il y a 1 heure, Fenrir a dit :

À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public

Dit autrement :

  • pour les sites qui doivent être accédés par diverses personnes, j'utilise des certificats reconnu par défaut (signés par une autorité reconnu en standard)
  • pour le reste (tout ce qui n'est accédé que par moi ou des équipements que je maitrise), j'utilise un certificat signé par mon autorité

nb : un certificat d'autorité racine est TOUJOURS autosigné mais ce n'est pas un certificat "autosigné" dans le sens qu'on trouve un peu partout sur le net

Par exemple l'autorité AddTrust est :

  • valide pour CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=AddTrust AB,C=SE
  • signé par : CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=,AddTrust AB,C=SE

Par contre les certificats que tu utilises sont très rarement signés par une autorité racine, généralement il y a un ou plusieurs intermédiaire, qui eux sont signés par la racine.

https://www.qwant.com/?q=certificate hierarchy&t=images

Pour aller plus loin il faudrait faire un cours sur les PKI, donc je vais m'abstenir :lol:

Partager ce message


Lien à poster
Partager sur d’autres sites

un grand merci à vous deux, j'y vois plus clair et surtout j'aperçois une solution à mon problème avec startssl tout en conservant mon organisation.

y'a plus qu'a s'y mettre !

Bonne soirée et encore merci.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant