Aller au contenu

Certificat Let's Encrypt / Domaine non valide !! ?


Messages recommandés

il y a une heure, oracle7 a dit :

Je t'invite à poursuivre cet échange dans le sujet "VPN server" qui est plus approprié vu la tournure de nos échanges.

Tu as raison : j'ai continué ici.

Il y a 23 heures, Kramlech a dit :

Ça c'est normal si tu n'as pas activé Web Station : une requête vers le NAS renvoie automatiquement sur le DSM

Bonjour @Kramlech,

Merci pour ta réponse.

Qu'est ce que webstation et comment l'utiliser ?

J'ai aussi remarqué qu'avec le ndd.eu de mon routeur, en plus du port qui se met par défaut sur 5001 au lieu de 8001 le https ne se met pas et reste en http ce qui créée une erreur "bad request" dans mon navigateur.

En bref en tapant monNAS.ndd.eu tout roule tout seul (https en préfixe et :5001 en suffixe) et en tapant monRT.ndd.eu rien ne tourne bien (http au lieu de https en préfixe et :5001 au lieu de 8001 en suffixe).

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 74
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

Il y a 6 heures, Kramlech a dit :

Web Station est le serveur web que l'on peut installer depuis le centre de paquet, et qui permet d'héberger son propre site web ...

Merci, du coup pour que monRT.ndd.tld pointe vers https://192.168.x.y:8001 je dois installer webstation et ensuite comment dois-je le paramétrer ?
Merci d'avance @Kramlech

Lien vers le commentaire
Partager sur d’autres sites

Mais pourquoi tu veux installer Web Station ?

Je n'ai pas suivi le sujet depuis le début, et je ne comprend pas comment on est arrivé là en partant des certificats Lets Encrypt. Là je n'ai fait que répondre à une question précise...

Et la solution pour que "monRT.ndd.tld pointe vers https://192.168.x.y:8001", c'est d'utiliser le Reverse Proxy.

Et si le Reverse Proxy ne marche pas, ce serait peut être intéressant que tu ouvres un nouveau sujet en explicitant clairement ton besoin, la configuration mise en place et le problème rencontré. 

Lien vers le commentaire
Partager sur d’autres sites

Le 12/05/2020 à 23:41, Kramlech a dit :

Mais pourquoi tu veux installer Web Station ?

Je n'ai pas suivi le sujet depuis le début, et je ne comprend pas comment on est arrivé là en partant des certificats Lets Encrypt. Là je n'ai fait que répondre à une question précise...

Et la solution pour que "monRT.ndd.tld pointe vers https://192.168.x.y:8001", c'est d'utiliser le Reverse Proxy.

Et si le Reverse Proxy ne marche pas, ce serait peut être intéressant que tu ouvres un nouveau sujet en explicitant clairement ton besoin, la configuration mise en place et le problème rencontré. 

Merci @Kramlechpour ton retour, tu as raison je vais peut-être ouvrir un sujet dédié après avoir ergardé le tuto sur le reverse proxy.

J'ai une autre question bien dans le sujet cette-fois-ci.

J'ai suivi les indications trouvé sur le forum pour obtenir un certificat LE pour ndd.tld et deux SAN pour monNAS.ndd.tld et monRT.ndd.tld : problème mon navigateur indique bien monNAS.ndd.tld comme sécurisé et monRT.ndd.tld comme non sécurisé ! Aurais tu une idée de ce qui cloche ?

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Pour compléter ce que t'a dit @Kramlech, je dirais que tu peux installer le même certificat LE sur le NAS et le RT.

Attention toutefois, sur le RT on ne peux mettre qu'un seul certificat donc sauvegarde avant (pour le cas où) celui qui est présent.

SInon, je t'invite à créé un certificat wilcard "*.ndd.tld" chez SSL For Free ça simplifie la vie ... Fait en moins de cinq minutes ... Regardes le Tuto c'est facile.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Là il faut que tu soit plus explicite pour comprendre et répondre à ta demande : c'est quoi comme périphérique ton "monMACHINBOX" ?????

Avec ma petite connaissance, à part un NAS ou un Routeur, d'une je vois pas et de deux je suis pas compétent pour te répondre sur ce coup là, désolé.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Je ne pense pas que ce soit une bonne idée d'ouvrier une box vers l'extérieur. Si tu veux faire quand même accéder à ta box depuis l'extérieur, je te suggère d'entrer sur ton réseau interne via un VPN ... puis tu accèdes à ta box depuis ton réseau interne ...

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, oracle7 a dit :

@TuringFan

Rien vu dans la LB qui permette ce genre de chose. En plus ta LB est en DMZ quel en serait alors l'intérêt ?

Drôle d'idée que tu as là 🤭

Cordialement

oracle7😉

Pas un gros intérêt puisque la livebox est accessible avec une IP relativement simple, c'est vraiment "juste pour savoir" car je ne maitrise pas du tout le concept de Certificat. je pensais que c'était un domaine qui était certifié par un tier et du cop je ne comprends pas trop pourquoi on doit avoir un appareil sur chaque machine (NAS + RT) et pourquoi un certificat "général" ne suffirait pas ?

Pas contre pas compris ton point sur le DMZ, oui mon RT est en DMZ de ma livebox mais je souhaite parfois accéder la page d'administration de ma Livebox quand même.

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Kramlech a dit :

Je ne pense pas que ce soit une bonne idée d'ouvrier une box vers l'extérieur. Si tu veux faire quand même accéder à ta box depuis l'extérieur, je te suggère d'entrer sur ton réseau interne via un VPN ... puis tu accèdes à ta box depuis ton réseau interne ...

C'est exactement comme cela que j'ai configuré mon accès pour le moment (en plus du fait que l'appli orange permette un accès a distance sans vraiment pouvoir le bloquer j'ai l'impression).

Mon idée était donc de savoir si après avoir attribué un monAPPAREIL.ndd.tdl dans mon DNS et sur OVH je pouvais attribuer des certificats pour chacun de mes appareils (dont la Livebox) car autant je vois bien comment générer un certificat su le NAS puis le dupliquer sur le RT autant je n'ai aucune idée sur la possibilité de mettre un certificat sur d'autres appareils (Livebox, box domototique, tv, etc.).

Preneur d'explications car je ne maîtrise pas ces concepts de certificats et je ne vois pas bien si cela se réfère à un domaine, un appareil ou les deux ?

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Un certificat s'applique à un domaine uniquement. Comme son nom l'indique il est "une preuve" que tu maîtrises le domaine concerné, il est en quelque sorte, l’équivalent d’une carte d’identité numérique. Il est délivré par une autorité de certification au près de la quelle tu auras fournis une clé publique (liée à ta clé privée) qui permet d'authentifier explicitement ton domaine et donc son propriétaire.

Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement.

Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS mais pas seulement. D'où la nécessité de leur installer un certificat (idem sur ton smartphone/iphone et tout périphérique par le biais du quel tu établis une connexion de type HTTPS pour naviguer de façon sécurisée).

En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB, pour moi ce n'est qu'un simple modem/routeur qui véhicule et retransmet des données elles mêmes déjà "sécurisées" de par le protocole de transport utilisé.

Voilà une explication simpliste qui vaut ce qu'elle vaut, et qui n'engage que moi ...

Mais si tu veux aller plus loin dans cette connaissance des certificats, je t'invite à fouiller la toile ....

Cordialement

oracle7😉

 

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, oracle7 a dit :

Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement.

Pour plus de précision, je dirais que :

  • Il n'est pas nécessaire d'avoir un certificat pour qu'un navigateur accède à un serveur web en https... Simplement, le navigateur te signalera qu'il ne peut pas te garantir que le serveur web qui répond à une requête passée au serveur toto.fr est bien le serveur "officiel" qui gère le domaine toto.fr. Mais ton navigateur te proposera d’accéder quand même au site, sous ta responsabilité.
  • Ceci expliqué, on voit qu'il n'y a pas de rapport entre le chiffrage des données qui transitent et le certificat de sécurité. Ce n'est absolument pas le certificat qui permet de contrôler l'intégrité des données transmises.

En conclusion :

  • Le HTTPS est un protocole que permet de chiffrer les données qui transitent entre chez toi et le serveur web auquel tu t'adresses. Cela évite de faire transiter tes mots de passe en clair par exemple.
  • Le HTTPS est un protocole qui n'est absolument pas lié au principe des certificats.
  • Les certificats permettent simplement de t'assurer que le serveur qui te répond est bien celui qui est en charge du domaine auquel tu t'adresses.
il y a 40 minutes, oracle7 a dit :

Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS

Absolument aucun rapport entre un site web et un serveur DNS. Tu peux très bien héberger un site web sur ton NAS sans avoir de serveur DNS sur ce NAS. Il faut arrêter de dire qu'héberger son propre serveur  DNS sera la solution à tous ses problèmes. Pour moi un serveur DNS n'a vraiment une utilité que si ton routeur ne gère pas le loopback. Si tu ne maitrises pas un minimum la gestion des réseaux, cela risque de t'apporter plus de problèmes que d'avantages (je pourrais éventuellement développer ce point).

il y a 46 minutes, oracle7 a dit :

En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB

La non plus je ne suis pas d'accord. Soit il y a un serveur web d'installé, et c'est un "site web", soit il n'y a pas de serveur web et ce n'est pas un site web !!!! Si tu accèdes à ta box via un navigateur en utilisant une URL, c'est qu'il y a un serveur web dans ta box. Et dans ce cas, c'est au niveau de ce serveur web qu'il faudrait installer le certificat. Et ça ne semble pas possible (tu peux éventuellement te renseigner sur des forums spécialisés sur les livebox...)

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Kramlech a dit :

Etant retraité depuis le début du mois

Etre mis a la retraite en plein confinement , c'est pas de bol , le tout c'est d'y arriver

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 et @Kramlech

Merci pour vos explications, c'est un peu plus clair pour moi maintenant.

Si je comprends bien, dans mon cas c'est la fonctionnalité de serveur web de mon RT et de mon NAS qui demandent d'avoir un certifcat.

Il y a 13 heures, oracle7 a dit :

idem sur ton smartphone/iphone

Pas certain de comprendre, si mon smartphone est un simple client, il n'a pas à posséder de certificat mais juste lire celui de mon serveur non ?

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonjour,

Il y a 9 heures, TuringFan a dit :

Pas certain de comprendre, si mon smartphone est un simple client, il n'a pas à posséder de certificat mais juste lire celui de mon serveur non ?

C'est exactement la même chose que tu utilises un PC/Mac client ou ou un Smartphone/iPhone, sans certificat installé sur ces clients lorsque tu te connectes en HTTPS via un navigateur en saisissant une URL liée à ton domaine, automatiquement tu récupères une alerte de sécurité (qui reste cependant non bloquante car tu peux passer outre en acceptant les risques inhérents). Fais le test tu verras ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, oracle7 a dit :

sans certificat installé sur ces clients lorsque tu te connectes en HTTPS,  .... automatiquement tu récupères une alerte de sécurité

Non, ce n'est pas tout a fait cela ...

Tout certificat est émis et certifié par un tiers de confiance (dans notre cas, en général Lets Encrypt). Par défaut les navigateurs sont installés avec les clés publiques de ces tiers de confiance, ce qui permet aux navigateurs de contrôler la validité des certificats que lui présentent les sites consultés.

Donc non, par défaut, il n'y a rien a installer sur les clients (navigateurs)...

Par contre, si ton certificat n'est pas émis par un tiers de confiance (c'est la cas des certificats autosignés que tu peux créer toi même), ou si le certificat ne correspond pas au domaine (dans le cas ou tu laisses le certificat par défaut de Synology alors que tu utilises ton propre nom de domaine), tu as la possibilité de demander à ton navigateur d'enregistrer ce certificat pour qu'il ne t'envoie plus d’alertes par la suite ...

Lien vers le commentaire
Partager sur d’autres sites

Quand je dis que par défaut, il n'y a rien a installer sur le client, c'est qu'en fait le navigateur enregistre lui même ce dont il a besoin. Il suffit d'aller dans les paramètres du son navigateur (par exemple pour Firefox, dans Option, Vie privée et sécurité, certificat) pour voir que tous (ou presque) les serveurs auxquels tu as accédé en HTTPS sont référencés ...

Mais tu peux aussi importer tes propres certificats ...

Le problème si tu importes des certificats non reconnus, c'est que seul la navigateur dans lequel les certificats sont importés ne génèrera pas d'alertes. Si tu accèdes au même site avec un autre navigateur, tu auras des alertes. Si tu prends la peine de générer des certificats, autant s'assurer qu'ils soient valides pour tout le monde. Sinon pas besoin de certificat : quand tu accèdes à ton site, tu dis à ton navigateur qu'il s'agit d'un site de confiance, et tu n'aura plus d'alertes.

Maintenant, je ne suis pas un vrai spécialiste du sujet. Ce que j'en dit, c'est issu de mes observations. Je pense que si un vrai spécialiste de ces problématiques de certificat passait par là, il apporterait sans doute bien des compléments très intéressant !!!

<Mode aide mémoire ON> Creuser et comprendre plus profondément ces problèmes de certificats <Mode aide mémoire off>

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Kramlech a dit :

Par contre, si ton certificat n'est pas émis par un tiers de confiance (c'est la cas des certificats autosignés que tu peux créer toi même), ou si le certificat ne correspond pas au domaine (dans le cas ou tu laisses le certificat par défaut de Synology alors que tu utilises ton propre nom de domaine), tu as la possibilité de demander à ton navigateur d'enregistrer ce certificat pour qu'il ne t'envoie plus d’alertes par la suite ...

Ok merci pour les explications @Kramlech et @oracle7

Je crois que le SSL VPN m'a demandé d'installer un certificat, probablement donc car j'accède au web portail avec mon ndd bien que le certificat soit de Synology ?

Ce qui est étrange c'est que sur mon second client Windows, aucune installation de certifcat à faire ...

Je parle de ce sujet sur le turo VPN :

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.