Aller au contenu

Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?


Messages recommandés

Bonjour,

La situation : j'ai un nom de domaine miles.tld et un certificat wildcard fonctionnel, merci à  @Einsteinium m'a proposé de faire un nouveau sujet 🙂  pour exposer la question de ce sujet.

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :
bgONrsD.png

Puis si je force la connexion, j'aboutie à la page de webstation :
jBoUSJX.png

 

Donc  la connexion s'est quand même établie.
N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :
XfyNOIf.png


Merci d'avance 🙂 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, MilesTEG1 a dit :

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

il y a 5 minutes, MilesTEG1 a dit :

N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

J'ai expliqué dans la parenthèse 🙂 
Le wildcard n'était pas mis pour tous les services du NAS. Dont le "Paramètre système par défaut".
En mettant le wilkdcard sur ce service, je n'ai plus l'alerte de sécurité.
 

GuAMXXG.png

Mon soucis n'était pas là dessus 😉

il y a une heure, .Shad. a dit :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

Oui c'est une solution que je pourrais faire 🙂  Un peu plus contraignant, mais fonctionnelle, c'est ce que je faisais avant.

il y a 49 minutes, Einsteinium a dit :

Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂

Yep, j'ai d'ailleurs des questions à ce propos.
J'ai pas le temps là tout de suite , mais tout à l'heure je reposterais ta solution avec les questions qui vont avec 😉 

 

merci bien en tout cas 😇

Lien vers le commentaire
Partager sur d’autres sites

Alors, voilà, j'ai chouilla de temps avant d'aller dormir 😉

Le 17/05/2021 à 16:26, Einsteinium a dit :

On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂

Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host)

- A la racine du dossier web, tu mets un access qui deny.

 

Qu'est ce que tu entends par ce que j'ai mis en gras ?

Pour le .htaccess, est-ce que ça pourrait faire l'affaire :
 

order allow,deny
deny from all
allow from IP

avec à la place de IP quelques IP qui auraient accès au dossier ? J'avais un projet d'écran de station météo (un peu à l'arrêt mais que je pourrais reprendre) qui utilisait un script PHP pour récupérer des données.

Le 17/05/2021 à 16:26, Einsteinium a dit :

- dans web station maintenant :

1) Portail de service web : par defaut avec le jocker, je mets apache au lieu de nginx

2) paramètre de la page d'erreur, profil de defaut, une redirection 302 vers mon domaine.tld

3) dans portail web je fais un virtual host avec domaine.tld qui pointe vers sa nouvelle racine

POur le point 1), je ne vois pas trop de quoi tu parles...
Est-ce que c'est ça ?
npaE974.png

Pour les point 2 et 3, je sèche. Je ne vois pas de quoi tu parles 😓

 

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Einsteinium a dit :

Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^'

désormais c'est plutôt :

Require all denied
Require ip 192.168.0

Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi)

Ha mince...
Bon bah pour le moment le plus sûr/simple serait de désactiver la redirection wildcard sur mon nom de domaine et de faire à la main les différents domaines...
Qu'en penses-tu ? C'est risqué de laisser le wildcard sur le domaine ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Einsteinium a dit :

On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉

Hmmm j’ai peur un peu pour mes données et tout…

car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois…

Pour jouer la la sécurité, je préfère attendre une version finale .

Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ?

Mettre ton ndd là : https://www.ssllabs.com/ssltest/

et me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

4Jx7Pjl.png

Et un peu plus bas :
ZasKojq.png

 

Je te remercie d'avance 😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, MilesTEG1 a dit :

mais alors, pourquoi le version finale met tant de temps à sortir ?

Car synology fait de la merde totale niveau com, suffit de voir le forum de la communauté principale (anglaise), il en prenne plein la gueule à faire les morts...

Il y a 5 heures, MilesTEG1 a dit :

si tu as le TLS 1.3 avec DSM7

Normal sous dsm 6 c'est une vieille version qui ne le supportera pas, sous dsm 7 le 1.3 est disponible 😉

Lien vers le commentaire
Partager sur d’autres sites

En même temps ça fait longtemps que j'ai vu tourner sous Reddit la date de fin Juin, début Juillet, donc j'ai plutôt l'impression qu'ils sont dans les temps s'ils sortent la RC d'ici 2-3 semaines.

Mais à titre personnel je pense que ça n'arrivera pas avant Août, je n'ai jamais vu une version beta qui n'évolue pas avant la RC ou release.
Car les modifications qu'ils font pour corriger les bugs de la beta actuelle peuvent très bien en induire d'autres.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 20/05/2021 à 14:11, MilesTEG1 a dit :

me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

Je ne connaissais pas ce site et cela m'a donné l'occasion de tester mes deux serveurs (dsm6 et dsm7). Voilà le résultat

 

Capture.thumb.JPG.107fd0f3f91d91d3645163de35a4363e.JPG

Apparemment ssllab n'aime pas trop ma config non conventionnelle 🤪

Résultat du premier  nas (dsm7)

Capture1.thumb.JPG.bd1bec2a6833eff114245d7c59aea43f.JPG

Capture2.JPG.4a1b1f0c99e426ecb53c631296bd87da.JPG

Le second dsm6

Capture3.thumb.JPG.79e115f6d152f9ff14aed03e189dcc30.JPG

Capture4.JPG.8bea5889b66ffaa6f62a964b3a5d00a5.JPG

 

Maintenant je ne sais pas trop quoi en penser 🙄. Des commentaires??

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6.
Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1

Bien vu. Avec la compatibilité moderne sur DSM6 ça passe en A (donc dsm6 tls1.2 seulement et dsm7 tls1.2 et 1.3).

Si je mets dsm7 en compatibilité moderne ça ne change rien mais comme j'ai une notification que je risque de perdre la com avec certains périphériques Je suis donc revenu en arrière.

Autre changement : Je n'ai plus le warning : inconsistent server configuration ! 🙂

il y a 34 minutes, MilesTEG1 a dit :

Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7.

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Oui le HSTS est encore activé sur les domaines testés.
Mais les scores sont identiques en valeurs sur tous les tests par rapport à DSM6...

Par contre je viens de refaire le test là, et je suis de nouveau en A+...
Et dans les détails j'ai TLS1.2 qui apparait en vert plus du TLS 1.3 :
AExNxJR.png
 

Quand j'ai fait il hier ou avant hier, j'avais le 1.2 qui était orange et en No...
Bref, je suis 1+ là 😄 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.