Certificat de sécurité non reconnu par le navigateur

[Nycoo]

Bonjour,

J'ai configuré mon NAS pour ne plus utiliser quickconnect mais la redirection de port.

C'est à dire que quand je suis loin de chez moi, dans la barre d'adresse du navigateur j'écris https://mon.adress.ip:5001 pour accéder à mon NAS au lieu décrire monnomdeNAS.quickconnect.to.

Cependant, je reçois un message d'avertissement de mon navigateur (Google chrome à jour), qui me prévient qu'il ne peut pas garantir que le site sur lequel j'arrive et bien le mien. Et que par conséquent ce que je rentre au clavier et autre peut être volé.

J'ai bien repéré un tuto sur ce site mais il m'a l'air compliqué et semble surtout adapté à des gens qui veulent avoir un site visible par le public.

Est-ce grave docteur ? (Je doute qu'un jour quelqu'un essaie de pirater mon NAS lol).

Remarques supplémentaires :

Aussi, j'ai bien réussi à créer un certificat de sécurité qui s'est appliqué, mais il n'est toujours pas reconnu par le navigateur.

Enfin, je n'ai pas l'impression que l'utilisation de l'adresse Ip et la redirection de port soit plus rapide que Quickconnect.

Bonne journée.

Nycoo

 

[gaetan.cambier]

soit tu te créer un certificat valide avec un nom de domaine chez startssl

soit tu ignore le message

c'est l'authentification qui n'est pas assurée avec un certificat auto-signé, en aucun cas le cryptage qui lui sera bien actif

[Fenrir]

pour qu'un certificat soit reconnu comme valide par ton navigateur, il doit répondre (entre autre) aux conditions suivantes :

1. il doit être signé par une autorité connu du navigateur
2. il doit être valide pour l'adresse demandée (cn ou san)
3. être en période de validité (pas expiré)

Ton problème est aux points 1 et 2.

Pour le 1, tu peux créer une exception (en important le certificat dans ton navigateur)

Pour le 2, ton certificat est peut être valide pour http://www.monnas.com, mais pas pour http://1.2.3.4

Tu as alors 2 solutions :

• accéder à ton nas avec l'adresse renseignée dans le certificat (modification dns ou fichier hosts de ton pc)
• émettre un certificat valide pour l'IP utilisée

 

[Nycoo]

Bonjour,

Merci pour vos réponses.

• Pour StartSSL, c'est payant je crois ? Il faut d'abord acheter un nom de domaine (pas besoin hormis si c'est indispensable pour la sécurité) et ensuite acheter la reconnaissance du certificat par tous les navigateurs ? Et renouveler ces deux choses tous les ans ?
• Si j'importe le certificat dans mon navigateur, est-il possible d'associer le certificat à mon compte google ? Car j'utilise la navigation privée lorsque je ne suis pas chez moi.
• Pour les 2 solutions proposées par Fenrir pour le point 2. Je ne suis pas sûr d'avoir bien saisi :
  • Il faut que j'utilise l'adresse internet que j'ai définie lorsque j'ai créé le certificat ?
  • Et que dans ce même certificat que je créé il y ait l'adresse Ip de chez moi ?

Aussi, le message de Google Chrome permet d'avoir des détails du certificat. Si je vérifie à chaque fois que le nom dans le certificat est bien celui que j'ai mis quand j'ai créé le certificat, à priori c'est que c'est bien mon site ?

Ouh la la ! J'ai du maaaal !

Bonne journée.

Nycoo

[gaetan.cambier]

startssl est gratuit, mais il faut un nom de domaine qui est très souvent payant (le .tk est gratuit par exemple) ca doit etre le seul ou presque

si tu ne veux pas faire de frais :

tu peux très bien verifier l'empreinte numerique qui se trouve dans  :

certificat --> detail -> empreinte numerique

bon, avec le temsp, tu ne verifiera plus : la probabilité que ta page du dsm soit détournée pour volé tes identifiant est qd meme très faible, une banque a bien + de risque par exemple

si tu tape ton dyndns ou ton ip, tu arrivera sur ton serveur à 99.9999% de chance

[Fenrir]

Je ne peux d'expliquer en détails le fonctionnement d'un certificat (trop de chose à dire), au pire je veux bien te créer un tel certificat (mais ça implique une certaine confiance).

Pour faire simple

• si tu utilise https://monnas.com pour accéder à ton nas, le nom du certificat doit être monnas.com, si c'est https://1.2.3.4, le nom doit être 1.2.3.4

Si tu ne veux/peux pas utiliser un nom de domaine ou que tu veux utiliser ton IP, il faut que tu créé toi même ton certificat, c'est assez simple à faire pour un nom de domaine, mais c'est un peu plus fin si tu veux une adresse ip (il faut utiliser un SAN de type IP).

Tu as un exemple (à ne pas suivre bêtement) ici : http://apetec.com/support/GenerateSAN-CSR.htm

Tu peux aussi regarder ici : http://www.nas-forum.com/forum/topic/44359-d/?do=findComment&comment=1319254104 et http://www.nas-forum.com/forum/topic/44359-d/?page=2#comment-1319254461

 

Par contre, si tu n'utilise pas vrai certificat, tu devras l'importer dans tous tes navigateurs (aucune idée de si c'est synchronisé par chrome)