Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?

[MilesTEG1]

C'est pas dit...
Mais perso, je vais en rester sur mes réglages actuels, et je ne vais pas chercher à faire le HSTS via le site donné par @Einsteinium.

[Einsteinium]

Il y a 1 heure, Jeff777 a dit :

Oups, ça fait 6 mois si je me trompe pas. Tu connais un moyen de changer cela. Si on le change avec .htaccess c'est prioritaire ?

Je viens de testé, le htaccess écrasera la config, par défaut la durée est insuffisante par contre, donc faudra faire cette manipulation le temps de faire la manipulation (moi sa date de mon vps)

[Jeff777]

Bon j'ai quand même progressé. J'ai passé mes 64 entrées des proxy inverses en hsts (en fait ce sont deux fois les mêmes, 32 sur chaque NAS). J'ai également passé en hsts les virtual hosts.

Et j'ai introduit la ligne du header dans le htaccess du dsm6.

Il y a 5 heures, oracle7 a dit :

activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),

ça je n'ai pas fait car je ne sais pas ce qu'il faut mettre et je ne crois pas que ce soit nécessaire vu que j'accède au dsm par le proxy inverse.

Voilà le résultat pour tester l'éligibilité avec le lien de @Einsteinium:

donc je suis éligible avec un warning mais il m'a fallu mettre 1 an de max-age sinon pas d'éligibilité possible.

D'après le warning qui n'est pas bloquant, Il faut que je limite l'ajout dans le htaccess au https. Je ne sais pas trop comment faire.

Tant que je ne suis pas certain de ce que je fais et surtout que je ne sais pas tester avec un max-age raisonnable  je n'appuie pas sur le bouton.🥶

Modifié le 5 juin 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

il y a 7 minutes, Jeff777 a dit :

Il faut que je limite l'ajout dans le htaccess au https. Je ne sais pas trop comment faire.

Pour ma part, j'ai rajouté la ligne donnée par @MilesTEG1 précédemment dans le ".htaccess" qui prend en compte un max-age de 6 mois donc pas trop long, enfin je crois ...

Cordialement

oracle7😉

[Jeff777]

il y a 6 minutes, oracle7 a dit :

Pour ma part, j'ai rajouté la ligne donnée par @MilesTEG1 précédemment dans le ".htaccess" qui prend en compte un max-age de 6 mois donc pas trop long, enfin je crois ...

Il a mis un an et le test ssllabs lui dit 6 mois. Curieux !

Moi j'avais mis 15 minutes et je n'étais pas éligible car il fallait 1 an minimum ! C'est ce que j'ai mis pour obtenir l'image ci-dessus.

Le warning dit que je devrais retirer le hsts header sur les requêtes http  (du moins c'est ce que je crois comprendre).

Donc je pensais faire un test dans le htaccess pour que la ligne ajoutée ne soit prise en compte que pour le https.

Le warning n'est pas bloquant je pourrais donc demander le préload mais je comprends dans la suite du texte qu'il y a moyen de tester pas à pas (5mn, 1 semaine puis un mois) ce que je souhaiterais faire.

[MilesTEG1]

il y a 15 minutes, Jeff777 a dit :

Il y a 5 heures, oracle7 a dit :

activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),

ça je n'ai pas fait car je ne sais pas ce qu'il faut mettre et je ne crois pas que ce soit nécessaire vu que j'accède au dsm par le proxy inverse.

Dans DSM 7, cette page semble ne plus exister...
mais j'ai trouvé ça, est-ce que ça correspond à ce que tu as modifié ?

(La partie "Rediriger automatiquement les connexions HTTP vers HTTPS...")

 

[Jeff777]

Non, tu sais bien que la redirection http vers https fait bugger le proxy inverse (sauf s'il y a du changement avec dsm7) c'est pour cela que l'on utilise le htaccess.

Par contre sous domaine il y a une case hsts mais pour l'activer il faut mettre un domaine personnalisé. C'est, je crois comprendre, ce qu'à fait @oracle7.  J'avoue ne pas trop savoir quoi mettre comme domaine personnalisé vu que j'accède en externe comme en interne au dsm par le reverse proxy. Donc je n'ai rien mis, mais dans l'entrée dsm du reverse proxy j'ai activé le hsts et ceci sur les 2 nas et d'ailleurs pour toutes les entrées.

Modifié le 5 juin 2021 par Jeff777

[oracle7]

Bonjour

@Jeff777 J'ai juste repris le nom de mon NAS avec mon domaine telque : NomDuNAS.ndd.tld mais j'accède au NAS par le reverse proxy avec un truc du genre dsm.ndd.tld.

@MilesTEG1 la réponse précédente de @Jeff777 est claire : ne pas utiliser la redirection HTTP vers HTTPS mais renseigner un domaine et cocher la case HSTS. (manisfestement l'écran "Réseau / Paramètres de DSM" pour DSM6 a été renommé dans DSM7 en "Portail de connexion / DSM". Pourquoi pas il faudra simplement s'habituer et intégrer tous ces réarrangements ...

Cordialement

oracle7😉

[Jeff777]

il y a 41 minutes, oracle7 a dit :

J'ai juste repris le nom de mon NAS avec mon domaine telque : NomDuNAS.ndd.tld

OK merci. Je l'ai fait et ai coché la case hsts.

J'ai toujours le même warning : unnecessary hsts header over http.

Quelqu'un sait comment corriger cela ?

Sinon après avoir lu plusieurs sites je me suis lancé et ai lancé la demande de préload et j'ai maintenant ceci (wait and see) :

Status: "mondomaine" is pending submission to the preload list.

However, it still has the following issues, which we recommend fixing:

Modifié le 5 juin 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

il y a 1 minute, Jeff777 a dit :

J'ai toujours le même warning : unnecessary hsts header over http.

Comme ce n'est qu'un "Warning" j'ai passé outre en attendant d'avoir plus d'infos. Erreur de ma part, je ne saurai dire pour l'instant ? Du coup je me demande qu'en même si ce warning ne viendrais pas du ".htaccess" dans le quel on dit (avec l'ajout de la fameuse ligne) de toujours utiliser le "Strict-Transport-Security". A voir ...

il y a 4 minutes, Jeff777 a dit :

Sinon après avoir lu plusieurs sites je me suis lancé et ai lancé la demande de préload et j'ai maintenant ceci (wait and see) :

C'est étonnant, chez moi de mémoire cela a été quasi instantané 🤔

Cordialement

oracle7😉

[Einsteinium]

C’est bon concernant le warning, vous pouvez validé sans soucis, sachez qu’il faudra entre 1 et 3 mois afin que votre domaine soit inscrit en dur dans les navigateurs 🙂

[Jeff777]

Bonjour,

Il y a 7 heures, oracle7 a dit :

C'est étonnant, chez moi de mémoire cela a été quasi instantané

donc je dois avoir un problème quelque part. Ce matin j'ai toujours le même résultat.

Tu peux me dire ce que répond le test https://hstspreload.org/  ainsi que //net-internals/#hsts dans Chrome si tu utilises (moi je n'ai aucune réponse, site injoignable).

Il y a 5 heures, Einsteinium a dit :

sachez qu’il faudra entre 1 et 3 mois afin que votre domaine soit inscrit en dur dans les navigateurs

Ah oui 🙄 merci de l'info

Bon dimanche

Modifié le 6 juin 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Pour https://hstspreload.org/ cela me donne instantanément ceci :

Par contre, je n'utilise que FF et ton URL : "//net-internals/#hsts" n'est pas reconnue : site introuvable ! Peut-être une erreur de saisie dans ton post ? 🤔

Cordialement

oracle7😉

[.Shad.]

il y a 16 minutes, oracle7 a dit :

Par contre, je n'utilise que FF et ton URL : "//net-internals/#hsts" n'est pas reconnue : site introuvable ! Peut-être une erreur de saisie dans ton post ? 🤔

Comme il disait c'est relatif à Chrome :

Il y a 6 heures, Jeff777 a dit :

ainsi que //net-internals/#hsts dans Chrome si tu utilises

 

[Jeff777]

il y a 40 minutes, oracle7 a dit :

Pour https://hstspreload.org/ cela me donne instantanément ceci :

Euh....oui, moi aussi, mais tu as mis ton domaine pour voir ce que cela donnait ?

[oracle7]

@Jeff777

Bonjour,

Oui et j'obtiens cela :

Cordialement

oracle7😉

[Jeff777]

Oui, comme moi, nous sommes sur la liste d'attente mais pas encore inscrit. J'ai lu que cela pouvais prendre quelques jours et même comme @Einsteinium nous a dit :

Il y a 13 heures, Einsteinium a dit :

sachez qu’il faudra entre 1 et 3 mois afin que votre domaine soit inscrit en dur dans les navigateurs

Alors attendons 😉

Le premier qui voit du changement le signale.

Modifié le 6 juin 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

il y a 37 minutes, Jeff777 a dit :

Le premier qui voit du changement le signale.

Bien sûr, pas de soucis 😊

Cordialement

oracle7😉

[Einsteinium]

Votre site sera inscrit en dur dans le prochain update de navigateur (pas celle actuellement en dev, mais la prochaine), cela prendra 1 mois environ pour chrome, d’ici 3 mois vous serez en dur dans tous les navigateurs.

Et donc après cela quand votre domaine et ses sous domaines seront tapé dans les navigateurs, ils passeront automatiquement en https si vous l’omettez 😉

[Jeff777]

Merci. Nos attendons donc la seconde update de Chrome. 😉

[oracle7]

@Jeff777

Pour info le 1er retour suite à mon mail vers l'équipe Chromium HSTS Preload :

On verra bien alors ce qu'il en est dans 2 semaines ...

Cordialement

oracle7😉

[Einsteinium]

Il y a une année j’avais dû attendre 1 mois, 3 mois concernant safari sous iOS, avec le volume de demande, cela ne doit pas être en s’améliorant vue les délais du support 🤔

[Kramlech]

Je me trompe ou le sujet à complètement dévié par rapport au titre et à la demande initiale ?

[oracle7]

@Kramlech

Bonjour,

C'est pas faux 🤪

Cordialement

oracle7😉

[MilesTEG1]

C'est pas très grave 🙂 
Le sujet supplémentaire est intéressant 😉 Même si je ne pousserais pas jusqu'à faire ça avec mon domaine.