Certificat SSL gratuit (Let's Encrypt)

[mafiaman42]

Je m'étais inscris en tant que beta testeur. J'avais finis par arrivé à quelque chose de correct sur un de mes sous-domaines (en l'occurence l'interface d'admin de dsm), mais vu le nombre de sous-domaine que j'utilise via un reverse proxy, c'était bien trop fastidieux et complexe, j'ai donc jeté l'éponge pour ma part.

[gaetan.cambier]

Je m'étais inscris en tant que beta testeur. J'avais finis par arrivé à quelque chose de correct sur un de mes sous-domaines (en l'occurence l'interface d'admin de dsm), mais vu le nombre de sous-domaine que j'utilise via un reverse proxy, c'était bien trop fastidieux et complexe, j'ai donc jeté l'éponge pour ma part.

Pourquoi tu test pas cloudflare ?

[mafiaman42]

Il y a 2 heures , gaetan.cambier a déclaré:

Pourquoi tu test pas cloudflare ?

J'ai pas compris ce que cloudflare venait faire là dedans je t'avoue ...

[seb773]

Pouvez-vous me dire si il est possible de remettre le certificat auto-signé d'origine synology après avoir installé un certificats tiers ?

 - Si oui, comment faut-il faire svp ?

 - Comment faire pour révoquer un certificat Let's encrypt ?

Merci

Modifié le 8 décembre 2015 par seb773
modification

[PiwiLAbruti]

D'après la FAQ :

Citation

Will Let’s Encrypt issue wildcard certificates?

We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

L'idée est bonne, mais j'ai des doutes sur les intentions donc ça sera sans moi. Et puis il faut être capable de faire confiance aux solutions de cryptage fournies par des États-Uniens financés par Cisco, Akamai, Facebook, ...

[silversmarty]

Pour résoudre le "problème" des 90 jours de validité de Let's Encrypt, pourquoi ne pas utiliser l'automatisation ? J'imagine (facile à dire) qu'un petit package pourrait s'occuper de ça, avec un CRON qui va bien, non ? Quelqu'un a déjà tenté l'aventure ?

(je dis ça, mais mon niveau en Linux me permets tout juste d'émettre des hypothèses, donc bon ...)

 

SilverSmarty

[gaetan.cambier]

Ca reste une tres bonne iddée, apres pour linclure au syno ca va se conpliquer si cest pour utiliser avec un reverse proxy ca sera facile

[Sisyphe]

Bonjour,

En cherchant quelques infos sur les certificats je tombe sur ce post.

J'aimerai poser quelques questions basico-naives (ca existe...).

J'utilise mon NAS de manière trés simpliste, quasi uniquement pour stocker la musique que j'écoute via deux Sonos, stocker mes photos accessibles partout.

J'avais prévenu, c'est basique.

Comme tout le monde ou presque j'ai des messages d'alertes sur la sécurité lorsque que je me connecte au DSM ou au File Station via mon navigateur.

Bon, je réponds que je veux continuer quand même et c'est bon.

Mes questions :

- Est-ce grave de procéder ainsi ? Suis-je vulnérable ? Si oui quels sont les risques (intrusion... ?)

- Que faut-il installer pour supprimer ce message et être en sécurité ?

Voilà c'est simple, 

Merci pour vos éclairages et conseils.

[gaetan.cambier]

Grave, en aucun cas.

L'alerte certificat te dis juste que le nom qu'il il a dedans ne correspond pas a ce que tu as tapé c'est a dire lip du nas, ça ne change en aucun cas la qualité du cryptage utilisé pour sécurisé la connection

Une intrusion : vu que c'est sur ton réseau local ça limite les risques aux personnes qui y sont connectés en gros risque quasi nul

En fait tant que c'est sur ton réseau local tu peux meme le faire en simple http ;)

Si c'est a partir d'internet par contre c'est https + que conseillé

[Sisyphe]

Merci pour la réponse rapide

 

J'en déduis que si je me connecte à mon NAS depuis internet à partir de mon adresse "trucmachin;synology.me" là je ne serai pas en HTTPS bien que l'ayant activé dans le DSM, et donc dans ce cas je suis vulnérable (oui ?) et donc il faut un certificat.

J'ai tout compris ?

[gaetan.cambier]

Non, si tu as activer la redirection dans dsm tu sera toujours en https

Autrement tu tape https://truc.synology.me et tu as la connection chiffrée, meme si tu as une alerte pour le nom de domaine qui correspond pas ( domain name mismatch )