Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?

[Jeff777]

Bonjour,

@oracle7 ça y est je suis inscrit préloaded ce matin

[oracle7]

@Jeff777

Bonjour,

J'ai eu aussi ce matin la confirmation de mon inscription en preload. Donc c'est assez rapide finalement 😊 Voilà un point de sécurité supplémentaire bien venu !😀

Sinon pour info, j'ai eut aussi la réponse de la team  HSTS :

Cordialement

oracle7😉

[Einsteinium]

Juste pour chrome pour le moment les gas, les chemins est un peu plus long pour les autres navigateurs 😉

[Jeff777]

@Einsteinium

Existe-t-il un site qui permet de vérifier l'inscription sur l'ensemble des autres navigateurs ?

[Einsteinium]

Non aucun, suffira à chaque iodate de purger les données de navigateur et ensuite tapé ton domaine sans http/https, s’il est bien intégré il sera en https, sinon http

[Jeff777]

Il y a 11 heures, Einsteinium a dit :

tapé ton domaine sans http/https, s’il est bien intégré il sera en https, sinon http

Bonjour,

ça c'était déjà vrai avant l'inscription du moins si tape tartanpion.mondomaine.

Si je tape simplement mon nom de domaine je n'ai pas de réponse (site inaccessible)

Si je tape tartanpion.mondomaine il passe en https://tartanpion.mondomaine  et si cela correspond à une entrée du proxy inverse la page du site ou de l'appli s'affiche rapidement (bien plus rapidement qu'avant l'inscription au preloading). Si cela ne correspond pas à une entrée, la page d'accueil de Webstation s'affiche.

La nouveauté c'est la vitesse d'affichage.

 C'est vrai avec Chrome mais c'est pareille avec Opéra. Donc peut-être suis-je aussi inscrit sur la liste d'Opéra.

 

[Einsteinium]

Cela dépends aussi de la configuration du navigateur, si tu as fait en sorte d’être directement en https, pour toi cela ne change rien, moi j’ai fais cette démarche vis à vis des autres.

[Jeff777]

Pas bien compris 🙄. Pour moi le HSTS c'était pour éviter le "man in the middle" car la redirection je l'avait déjà.

@oracle7 j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess.

 

Edit : De plus je pense que je suis aussi preloaded avec Opera et Edge car le chargement de la page d'accueil de mon site wordpress est quasi immédiat (avec une extension qui fait appel à une page googlemap) alors qu'avant cela mettait au moins 30s pour la charger.🙂

Modifié le 10 juin 2021 par Jeff777

[Einsteinium]

Il y a 3 heures, Jeff777 a dit :

car la redirection je l'avait déjà

Une redirection, donc si quelqu'un fessait une requête en http contenant un token en http... celui la partait en clair avant la redirection de ton serveur web, désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête.

[Jeff777]

il y a 4 minutes, Einsteinium a dit :

désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête.

oui c'est bien ce que je dis :

Il y a 3 heures, Jeff777 a dit :

Pour moi le HSTS c'était pour éviter le "man in the middle"

ou du moins ce que j'ai voulu dire. Tout va bien 😉

[oracle7]

@Jeff777

Bonjour,

Il y a 5 heures, Jeff777 a dit :

 j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess.

Tu est sûr de ton coup là, car quand je fais cet ajout au fichier ".htacces" je récolte alors ceci :

 

EDIT  : OUPS !!! il faut ajouter le "env=HTTPS" à la fin de la ligne ajoutée au "htaccess" et NON PAS comme une nouvelle ligne à la fin du fichier.

Du coup cela marche tout de suite mieux !!! 😊

Donc finalement Un grand MERCI à toi pour l'astuce. 🤗👍👏

Cordialement

oracle7😉

Modifié le 10 juin 2021 par oracle7

[Jeff777]

Mon fichier .htaccess :

 

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteCond %{HTTP_HOST} ^photo.ndd.ovh$
RewriteRule ^$ https://photo.ndd/photo [L,R=301]
 

Oui c'était pas clair.🙄

[MilesTEG1]

@Jeff777 Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ?

 

Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible...
De plus, j'ai du mal à voir l'intérêt... enfin je n'arrive pas à comprendre ce que ça changera par rapport à l'activation du HSTS sur le NAS lui-même...
Car normalement, une requête faite en HTTP sera refaite en HTTPS (avec HSTS activé sur le NAS) non ?
Et concrètement, ça fait quoi ce preload ?

 

Et dernier point d'inquiétude pour moi : où sont inscrits ces noms de domaine ?? Car ils doivent bien être stocker quelque part pour que les navigateurs fassent le preload ?
 

[oracle7]

@MilesTEG1

Bonjour,

Le but de ce "bouzin" est d'éviter le problème du "man in the middle" càd que ta requête HTTP ne soit interceptée et modifiée par un malveillant avant d'être convertie en HTTPS sur le serveur. Si j'ai bien compris c'est ton navigateur qui fait ce boulot en premier sur la base une liste préchargée de domaines.

il y a 12 minutes, MilesTEG1 a dit :

Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible...

Relis bien les explications données ici (notamment le premier lien vers Wiki) et de plus ce n'est pas irréversible mais juste très compliqué et long pour se désinscrire. Il faut justifier fortement la raison de la désinscription.

Maintenant, je peux me tromper mais j'ai aussi compris que cette liste est à terme incluse dans le code du navigateur. En attendant, j'imagine qu'elle est stockée sur les serveurs de HSTS.

Dans tous les cas, comme ce mécanisme de protection est normé (RFC 6797) pourquoi ne pas lui faire confiance ?

Ne pas hésiter à me reprendre si j'ai dit des co...ies ...

Cordialement

oracle7😉

[MilesTEG1]

Ok, ok. Tu es en train de me convaincre 🙂

Par contre, j'ai pas de www.mondomain.tld...

j'ai une fin de non recevoir à cause de ça...
Tout comme mondomaine.tld n'aboutie à rien puisque j'ai rien dans le reverse proxy pour...

Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...).

[oracle7]

@MilesTEG1

Bonjour,

il y a 48 minutes, MilesTEG1 a dit :

Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...).

Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS.

Cordialement

oracle7😉

[Jeff777]

Il y a 4 heures, MilesTEG1 a dit :

 Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ?

Ah oui quelqu'un m'a déjà dit cela. Bon ça marche comme cela alors je verrai plus tard.

[Einsteinium]

Et de toute façon tous les domaines créer sont publier… tout comme le sont les demande de certificat LE (https://crt.sh)

[Jeff777]

Impressionnant !

[MilesTEG1]

Il y a 17 heures, oracle7 a dit :

Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS.

Bon je viens de modifier l'entrée par défaut d'OVH pour le www qui pointait sur le serveur WEB d'OVH (hébergement inclus dans mon offre de nom de domaine) en www2 (histoire d'avoir encore les valeurs fournies par OVH).

Le www.ndd.tld point bien vers mon NAS maintenant, mais le www2 également 😮 
Alors qu'avant la modif, le www pointait sur l'hébergement de OVH...

Bon c'est pas trop grave.

Je pense qu'il faut que l'info DNS se propage, car là j'ai ça :

pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

Modifié le 11 juin 2021 par MilesTEG1

[oracle7]

@MilesTEG1

Bonjour,

il y a une heure, MilesTEG1 a dit :

pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

Grave ou pas je ne saurais dire mais par contre si tu bloques le port 80 dans le pare-feu du routeur et du NAS, je crains que cela ne le fasse pas. Mais je peut me tromper ...

Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS :

• ndd.tld.   0   TXT    "1|www.ndd.tld"
• www.ndd.tld.   0    TXT   "l|fr"

eux aussi de mémoire inscrits par défaut.

Cordialement

oracle7😉

Modifié le 11 juin 2021 par oracle7

[Einsteinium]

Il y a 1 heure, MilesTEG1 a dit :

pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

J’ai le même et non ce n’est pas grave, c’est même mieux, tu retires +95% des attaques que subira ton serveur web par des bots.

Apres ndd.tld a ton ip et un *.ndd.tld cname ndd.tld c’est le plus propre… y a plus beaucoup de site qui utilise encore le www au passage.

[MilesTEG1]

purée, j'avais pas fait gaffe, mon domaine apparaissait en clair dans l'image 😅

j'ai supprimé et re-envoyé une capture masquée ^^

 

Sinon ok pour ça :

Il y a 1 heure, oracle7 a dit :

Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS :

• ndd.tld.   0   TXT    "1|www.ndd.tld"
• www.ndd.tld.   0    TXT   "l|fr"

Ça sert à quoi le champ TXT ? et comment il est formaté ?

[oracle7]

@MilesTEG1

Bonjour,

Désolé je ne te serais pas d'u grand secours, je ne sais à quoi ils servent. C'était juste pour te dire que j'avais aussi ces enregistrements.🧐

Pour leur formatage ils contiennent simplement la chaine la plus à droite et entre guillemets et on un TTL par défaut.

Cordialement

oracle7😉

[MilesTEG1]

Ok, bon pour le moment je laisse comme ça, mais j'ai encore l'erreur :

 

Error: www subdomain does not support HTTPS
Domain error: The www subdomain exists, but we couldn't connect to it using HTTPS ("read tcp 172.17.x.x:52294->213.186.x.x:443: read: connection reset by peer"). Since many people type this by habit, HSTS preloading would likely cause issues for your site.

Je renterais demain.