This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?


Messages recommandés

Bonjour,

La situation : j'ai un nom de domaine miles.tld et un certificat wildcard fonctionnel, merci à  @Einsteinium m'a proposé de faire un nouveau sujet 🙂  pour exposer la question de ce sujet.

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :
bgONrsD.png

Puis si je force la connexion, j'aboutie à la page de webstation :
jBoUSJX.png

 

Donc  la connexion s'est quand même établie.
N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :
XfyNOIf.png


Merci d'avance 🙂 

 

Lien à poster
Partager sur d’autres sites
  • Réponses 112
  • Created
  • Dernière réponse

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

@MilesTEG1 Bonjour, Bah oui ... Oh là je suis pas réveillé ce matin ...🤪 Cordialement oracle7😉

Hmmm j’ai peur un peu pour mes données et tout… car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois… Pour jouer la la sécurité, je pr

@Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ? Mettre ton ndd là : https://www.ssllabs.com/sslte

Posted Images

il y a 3 minutes, MilesTEG1 a dit :

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

il y a 5 minutes, MilesTEG1 a dit :

N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

Lien à poster
Partager sur d’autres sites
il y a une heure, .Shad. a dit :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

J'ai expliqué dans la parenthèse 🙂 
Le wildcard n'était pas mis pour tous les services du NAS. Dont le "Paramètre système par défaut".
En mettant le wilkdcard sur ce service, je n'ai plus l'alerte de sécurité.
 

GuAMXXG.png

Mon soucis n'était pas là dessus 😉

il y a une heure, .Shad. a dit :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

Oui c'est une solution que je pourrais faire 🙂  Un peu plus contraignant, mais fonctionnelle, c'est ce que je faisais avant.

il y a 49 minutes, Einsteinium a dit :

Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂

Yep, j'ai d'ailleurs des questions à ce propos.
J'ai pas le temps là tout de suite , mais tout à l'heure je reposterais ta solution avec les questions qui vont avec 😉 

 

merci bien en tout cas 😇

Lien à poster
Partager sur d’autres sites

Alors, voilà, j'ai chouilla de temps avant d'aller dormir 😉

Le 17/05/2021 à 16:26, Einsteinium a dit :

On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂

Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host)

- A la racine du dossier web, tu mets un access qui deny.

 

Qu'est ce que tu entends par ce que j'ai mis en gras ?

Pour le .htaccess, est-ce que ça pourrait faire l'affaire :
 

order allow,deny
deny from all
allow from IP

avec à la place de IP quelques IP qui auraient accès au dossier ? J'avais un projet d'écran de station météo (un peu à l'arrêt mais que je pourrais reprendre) qui utilisait un script PHP pour récupérer des données.

Le 17/05/2021 à 16:26, Einsteinium a dit :

- dans web station maintenant :

1) Portail de service web : par defaut avec le jocker, je mets apache au lieu de nginx

2) paramètre de la page d'erreur, profil de defaut, une redirection 302 vers mon domaine.tld

3) dans portail web je fais un virtual host avec domaine.tld qui pointe vers sa nouvelle racine

POur le point 1), je ne vois pas trop de quoi tu parles...
Est-ce que c'est ça ?
npaE974.png

Pour les point 2 et 3, je sèche. Je ne vois pas de quoi tu parles 😓

 

Lien à poster
Partager sur d’autres sites

Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^'

désormais c'est plutôt :

Require all denied
Require ip 192.168.0

Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi)

Lien à poster
Partager sur d’autres sites
il y a une heure, Einsteinium a dit :

Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^'

désormais c'est plutôt :

Require all denied
Require ip 192.168.0

Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi)

Ha mince...
Bon bah pour le moment le plus sûr/simple serait de désactiver la redirection wildcard sur mon nom de domaine et de faire à la main les différents domaines...
Qu'en penses-tu ? C'est risqué de laisser le wildcard sur le domaine ?

Lien à poster
Partager sur d’autres sites
Il y a 1 heure, Einsteinium a dit :

On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉

Hmmm j’ai peur un peu pour mes données et tout…

car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois…

Pour jouer la la sécurité, je préfère attendre une version finale .

Lien à poster
Partager sur d’autres sites

Par de maj oui, elle est déjà proche de la finale de part sa stabilité 😉

J’ai du remonté 2/3 anecdotes, mais je n’ai constaté aucun bug ou problème majeure, d’une stabilité à toute épreuve.

Lien à poster
Partager sur d’autres sites

@Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ?

Mettre ton ndd là : https://www.ssllabs.com/ssltest/

et me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

4Jx7Pjl.png

Et un peu plus bas :
ZasKojq.png

 

Je te remercie d'avance 😉

Lien à poster
Partager sur d’autres sites
Il y a 14 heures, MilesTEG1 a dit :

mais alors, pourquoi le version finale met tant de temps à sortir ?

Car synology fait de la merde totale niveau com, suffit de voir le forum de la communauté principale (anglaise), il en prenne plein la gueule à faire les morts...

Il y a 5 heures, MilesTEG1 a dit :

si tu as le TLS 1.3 avec DSM7

Normal sous dsm 6 c'est une vieille version qui ne le supportera pas, sous dsm 7 le 1.3 est disponible 😉

Lien à poster
Partager sur d’autres sites

En même temps ça fait longtemps que j'ai vu tourner sous Reddit la date de fin Juin, début Juillet, donc j'ai plutôt l'impression qu'ils sont dans les temps s'ils sortent la RC d'ici 2-3 semaines.

Mais à titre personnel je pense que ça n'arrivera pas avant Août, je n'ai jamais vu une version beta qui n'évolue pas avant la RC ou release.
Car les modifications qu'ils font pour corriger les bugs de la beta actuelle peuvent très bien en induire d'autres.

Lien à poster
Partager sur d’autres sites
  • 2 weeks later...

@Einsteinium

Maintenant que j'ai craqué pour installé DSM7 RC, j'ai probablement la possibilité de personnaliser l'arrivée sur un domaine non référencé dans le reverse proxy.
Pourrais-tu m'aider ?

Merci d'avance 😉

 

Lien à poster
Partager sur d’autres sites
Le 20/05/2021 à 14:11, MilesTEG1 a dit :

me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

Je ne connaissais pas ce site et cela m'a donné l'occasion de tester mes deux serveurs (dsm6 et dsm7). Voilà le résultat

 

Capture.thumb.JPG.107fd0f3f91d91d3645163de35a4363e.JPG

Apparemment ssllab n'aime pas trop ma config non conventionnelle 🤪

Résultat du premier  nas (dsm7)

Capture1.thumb.JPG.bd1bec2a6833eff114245d7c59aea43f.JPG

Capture2.JPG.4a1b1f0c99e426ecb53c631296bd87da.JPG

Le second dsm6

Capture3.thumb.JPG.79e115f6d152f9ff14aed03e189dcc30.JPG

Capture4.JPG.8bea5889b66ffaa6f62a964b3a5d00a5.JPG

 

Maintenant je ne sais pas trop quoi en penser 🙄. Des commentaires??

Lien à poster
Partager sur d’autres sites

Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6.
Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1

Lien à poster
Partager sur d’autres sites
Posté(e) (modifié)
il y a une heure, .Shad. a dit :

Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6.
Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1

Bien vu. Avec la compatibilité moderne sur DSM6 ça passe en A (donc dsm6 tls1.2 seulement et dsm7 tls1.2 et 1.3).

Si je mets dsm7 en compatibilité moderne ça ne change rien mais comme j'ai une notification que je risque de perdre la com avec certains périphériques Je suis donc revenu en arrière.

Autre changement : Je n'ai plus le warning : inconsistent server configuration ! 🙂

il y a 34 minutes, MilesTEG1 a dit :

Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7.

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Modifié par Jeff777
Lien à poster
Partager sur d’autres sites
Il y a 2 heures, Jeff777 a dit :

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Oui le HSTS est encore activé sur les domaines testés.
Mais les scores sont identiques en valeurs sur tous les tests par rapport à DSM6...

Par contre je viens de refaire le test là, et je suis de nouveau en A+...
Et dans les détails j'ai TLS1.2 qui apparait en vert plus du TLS 1.3 :
AExNxJR.png
 

Quand j'ai fait il hier ou avant hier, j'avais le 1.2 qui était orange et en No...
Bref, je suis 1+ là 😄 

Lien à poster
Partager sur d’autres sites

@MilesTEG1

Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ??

Lien à poster
Partager sur d’autres sites
il y a 23 minutes, Jeff777 a dit :

@MilesTEG1

Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ??

Oui c’est ça.

je crois que le test fait il y a quelques jours a eu un bug…

Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.