Herbergement Website Et Connections Https Des Users

[Lokomass]

Bonjour à tous.

Je suis en train de pencher sur l'authentification en https pour mes utilisateurs.

J'ai donc vu qu'il fallait un certificat https et certains sites en proposent des gratuits...

Est ce possible d'utiliser celui de synology et comment ?

Sinon comment en mettre en place un autre ?

Merci

[domlas]

Première question : pourquoi du https:// Tes données sont sensibles à ce point ?

[gaetan.cambier]

ne serait-ce que pour le login des user, il est tout a fait normal de présenter un certificat https valide !

également pour des raisons de meilleures indexations car googlepositionne mieux un site en https qu'un site en http (et ca ne fera que s'accentuer dans le futur) :

http://googlewebmastercentral.blogspot.be/2014/08/https-as-ranking-signal.html

perso, mon site est Full HTTPS, et cela permet egalement d'accelerer les requete multiple avec SPDY, qui fonctionne que avec le https, en attendant le support du http/2.0 par apache

Pour en revenir à la question :

les seuls certificats gratuit valide sont de startssl.com

autrement, faut payer une somme parfois consequente pour rien de plus chez les autres

dans tous les cas, il faut etre propriétaire d'un nom de domaine pour le faire ce qui est payant sauf un .tk (d'autre p-e aussi, mais en général, c'est payant, la gratuitté est rare)

Modifié le 2 mai 2015 par Gaetan Cambier

[Didier_Csu]

Bonjour Gaétan,

A ce sujet, j'ai une question.

DSM précise qu'à compter de 2017 les certificats SSL basés sur SHA-1 seront "obsolètes".

A court terme, i faudrait passer au minimum au SHA-2

A ma connaissance, les certificats gratuits proposés par StatSSL sont dits de Classe 1.

Y-a-t-il un rapport entre la classe et la version de SHA?

Autrement dit, pourra-t-on à terme avoir un certificat gratuit en SHA-2?

[gaetan.cambier]

la classe, c'est un peu le niveau de verification qu'il ont fait avant de t'attribuer un certificat

classe 1 = verif sur base une email uniquement (webmaster@domain.tld ou postmaster@domain.tld) (gratuit)

classe 2 et 3, ils demande des document officiel en + pour avoir ton identité (c'est détaillé sur le site de startssl.com, j'ai jamais fait super attention, ses certificat ne m'interessent pas particulierement) (payant car demande un traitement supplémentaire)

a coté de cela, lorsque tu crée ton certificat, independemment de la classe, tu as 2 paramètre à choisir :

la longueur de la clé rsa (2048, 3072, 4096) de nos jours, 2048 devient considérer comme un peu limite

la signature du certificat (sha1 ou sha256 (sha2)) de nos jour sha1 a été deprécié, --> sha256 il y a pas le choix

toute ses option etait deja présente chez startssl l'année passée en juin (lorsque je recréer mes certificat)

la seul chose qui manque chez startssl, c'est les certificats Elliptic Curve, on espère qu'il vont se bouger un peu pour le mettre en place

[Didier_Csu]

Merci pour tes explications.

J'avoue que je n'ai pas encore utilisé startssl. Plus exactement je n'avais visiblement pas compris la procédure lorsque j'ai essayé l'an dernier.

Pris par autre chose j'ai abandonné.

Je me contente donc actuellement du certificat auto-signé fourni par Synology que j'avais crée lors de l'installation de mon NAS.

[Didier_Csu]

Je viens de lire sur ton site l'article de création d'un certificat ECC autosigné.

Je me suis amusé à essayer et...j'y suis arrivé (openssl pour windows + Cmder).

Étonnant non ?

Un tel certificat est-il utilisable pour mon Nas?

Suffit-il de l'importer via le DSM?

Le fait d'être auto-signé est-il "limitant" ?

Quelle différence avec ceux signés par StarSSL ?

[gaetan.cambier]

la seul différence entre un certificat signé et auto-signé, c'est la chaine de confiance

un certificat auto-signé, se fait confiance à lui meme et n'est pas reconnu par les navigateur comme fiable

un certificat signé par startssl, est reconnu de confiance par startssl et par extention la plupart des navigateur t'assure qu'il est fiable

donc, ca dépend, si c'est juste pour toi, c'est pas très grave que le certificat soit auto-signé, tu lui fera confiance

si tu ouvre un site avec https comme (j'ai fait par exemple), il vaut mieux avoir un certificat reconnu juste pour que tes visiteurs continue leur visite sans avoir d'allerte de leur navigateur

autrement au niveau cryptage, il y a rien qui change

edit, j'allais oublie une question : je viens de tester dans le dsm, il semble qu'il n'aime pas ses certificat :s comme j'utilise haproxy en reverse proxy, c'est ce dernier qui gere le https et lui, aucun problème

Modifié le 7 mai 2015 par Gaetan Cambier

[Didier_Csu]

Merci pour ces explications claires Oh Maître!

Dans ton "edit", tu parles du certificat ECC qui n'est pas accepté par DSM ?

[gaetan.cambier]

ben oui, j'ai tester un certificat ecc, il me repond "cle invalide" :s

faut croire que syno est encore à la traine sur ce sujet

[Didier_Csu]

OK,

ben il me restera à retourner voir StartSSL.

Merci encore.

Modifié le 7 mai 2015 par Didier_Csu