Un point sur les certificats

[Mickaël DRJ]

Bonjour,

J’aimerais faire un point sur les certificats.

Lorsque je suis en utilisation local, avec mon Synology qui a pour IP 192.168.1.100, est ce utile de créer un certificat signé pour l’adresse 192.168.1.100? Est-ce possible déjà pour une IP?

Note complètementaire, j’ai une IP externe fixe.

 

Et avec l’utilisation du VPN dois-je recréer un certificat pour mon IP en 10.8.0.1?

 

Je suis un peux perdu.

 

Si j’ai une application qui est utilisé en local comme en distant, il faut privilégier l’utilisation du certificat sur l’adresse distante alors?

 

Je suis complètement pommé et d’ailleurs je sais même pas si j’ai placé mon sujet dans le bon répertoire.

 

 

Envoyé de mon iPhone en utilisant Tapatalk

[Jeff777]

il y a 2 minutes, Mickaël DRJ a dit :

Lorsque je suis en utilisation local, avec mon Synology qui a pour IP 192.168.1.100, est ce utile de créer un certificat signé pour l’adresse 192.168.1.100? Est-ce possible déjà pour une IP?

Bonjour,

Non seulement ce n'est pas nécessaire mais en plus ce n'est pas possible. Même chose pour 10.8.0.1

[CyberFr]

Bonjour,

En complément de la remarque de @Jeff777 j'ajoute qu'un certificat est toujours associé à un nom de domaine et jamais à une adresse IP en dur.

Je te recommande de lire [TUTO] Pourquoi et comment utiliser un nom de domaine ?

[Mickaël DRJ]

Merci les gars [mention=79458]CyberFr[/mention] et [mention=5782]Jeff777[/mention]

Bonjour,
En complément de la remarque de [mention=5782]Jeff777[/mention] j'ajoute qu'un certificat est toujours associé à un nom de domaine et jamais à une adresse IP en dur.
Je te recommande de lire [TUTO] Pourquoi et comment utiliser un nom de domaine ?

Très bon tuto…
J’ai déjà un nom de domaine avec ssl chez ionos (par habitude), donc j’ai importé le certificat du domaine. Donc je suis tout bon.
Mais à la première connexion, nouvel appareil ou purge du cache du navigateur, j’ai toujours un message de certificat non signé, du fait que je me connecte via l’ip local et non avec le nom de domaine.
J’accepte et c’est tout?
Je maîtrise pas trop les certificats.
J’ai une IP externe fixe, donc j’ai juste fais pointer le nom de domaine vers mon IP public.
Peut être que je dois renseigné mon nom de domaine à un endroit donné, que je n’ai pas fais? Qui permettrait de donné mon nom de domaine au NAS. Pour que mon domaine point vers l’IP du NAS local ou lieu de mon adresse externe.

Par exemple dans « accès externe » > « avancé »?



Car si j’ai bien compris le certificat est fonctionnel (je veux dire par fonctionnel = pas d’erreur de certificats, car les certificats est toujours fonctionnel, si je comprends bien?) seulement si je me connecte via mon nom de domaine.fr?


Autre point mon nom domaine pointe vers une page par défaut de ionos.
J’ai seulement fais pointé un sous domaine vers mon IP externe.
- je me suis dit que c’était une bonne idée. Plus sécurisé?
Dans les certificats j’ai fais un certificat avec le wilcard pour qu’il prenne en compte mon sous domaine.


Envoyé de mon iPhone en utilisant Tapatalk

[CyberFr]

il y a 27 minutes, Mickaël DRJ a dit :

Mais à la première connexion, nouvel appareil ou purge du cache du navigateur, j’ai toujours un message de certificat non signé, du fait que je me connecte via l’ip local et non avec le nom de domaine.

J'avais pourtant écrit :

Il y a 2 heures, CyberFr a dit :

En complément de la remarque de @Jeff777 j'ajoute qu'un certificat est toujours associé à un nom de domaine et jamais à une adresse IP en dur.

Quand tu te connectes en HTTPS avec une adresse IP locale, le nom de domaine n'y figure pas donc cet avertissement est normal.

Je te conseille vivement de relire le tuto "Pourquoi et comment utiliser un nom de domaine" et de revenir sur le forum si des choses t'échappent.

[Mickaël DRJ]

@CyberFr

Désolé j’essaie de comprendre…
Sauf erreur de ma part, il ne parle pas des IPs accès IP local…

Dans ma configuration actuelle, si je veux utilisé mon nom de domaine pour accéder au DSM en utilisation local, il passe par le loopback et reste bloqué au pare-feu car mon port 5000 n’est pas ouvert et il est dépréconiser de l’ouvrir. Jusqu’ici on est d’accord?

Donc j’utilise mon IP local et c’est pas grave pour les erreurs de certificats du moment que l’on est dans le VPN ou dans le réseau local.

C’est comme ça qu’il faut voir les choses?

[Jeff777]

il y a 6 minutes, Mickaël DRJ a dit :

Dans ma configuration actuelle, si je veux utilisé mon nom de domaine pour accéder au DSM en utilisation local, il passe par le loopback et reste bloqué au pare-feu car mon port 5000 n’est pas ouvert et il est dépréconiser de l’ouvrir. Jusqu’ici on est d’accord?

Une alternative à l'utilisation de l'IP locale c'est de créer une zone locale avec DNS serveur (voir le tuto) et là tu peux créer une ressource A qui fait pointer ton nom de domaine vers ton nas et là tu ne devrais plus avoir d'erreur de certificat.

[oracle7]

@Mickaël DRJ

Bonjour,

il y a 9 minutes, Mickaël DRJ a dit :

et c’est pas grave pour les erreurs de certificats du moment que l’on est dans le VPN ou dans le réseau local.

Bah NON, tu as tout faux et c'est une très mauvaise pratique car indirectement tu (et certainement idem pour tes utilisateurs locaux) prends l'habitude de déroger aux alertes de sécurité de ton navigateur Web et tôt ou tard tu feras de même sur la toile avec un site non sécurisé et là tu prends de gros risques. Maintenant ce que j'en dis , c'est toi qui voit ...

Cordialement

oracle7😉

[Mickaël DRJ]

Ok merci les gars [mention=79458]CyberFr[/mention] [mention=75516]oracle7[/mention]

Donc je sentais bien que je ne travaillais pas comme il fallait.

Merci de m’avoir éclairé sur ce sujet.


Envoyé de mon iPhone en utilisant Tapatalk

[cadkey]

il y a 30 minutes, Mickaël DRJ a dit :

Donc j’utilise mon IP local et c’est pas grave pour les erreurs de certificats du moment que l’on est dans le VPN ou dans le réseau local.

Oui, en local pour les raisons que t'a donné @CyberFr. Ou utiliser l'alternative de @Jeff777
Pas de notion de certificat dans un VPN, doit y avoir des centaines de personnes sur un VPN NordVPN par exemple qui se connectent à des centaines de sites différents. Un certificat open bar 😉

Modifié le 2 mars 2022 par cadkey

[CyberFr]

il y a 34 minutes, Jeff777 a dit :

Une alternative à l'utilisation de l'IP locale c'est de créer une zone locale avec DNS serveur (voir le tuto) et là tu peux créer une ressource A qui fait pointer ton nom de domaine vers ton nas et là tu ne devrais plus avoir d'erreur de certificat.

Notre ami a déjà bien du pain sur la planche, alors ajouter DNS Server risque de l'embrouiller un peu plus 🤩

il y a 50 minutes, Mickaël DRJ a dit :

Dans ma configuration actuelle, si je veux utilisé mon nom de domaine pour accéder au DSM en utilisation local, il passe par le loopback et reste bloqué au pare-feu car mon port 5000 n’est pas ouvert et il est dépréconiser de l’ouvrir. Jusqu’ici on est d’accord?

Inutile de l'ouvrir en effet. Mais si tu tapes https://ndd.fr:5001 dans ton navigateur, tu dois te connecter à DSM en HTTPS sur le port sécurisé (5001 par défaut de mémoire ou celui que tu as défini).

[Kramlech]

il y a une heure, Mickaël DRJ a dit :

Donc j’utilise mon IP local et c’est pas grave pour les erreurs de certificats du moment que l’on est dans le VPN ou dans le réseau local.

 

il y a une heure, oracle7 a dit :

Bah NON, tu as tout faux et c'est une très mauvaise pratique car indirectement tu (et certainement idem pour tes utilisateurs locaux) prends l'habitude de déroger aux alertes de sécurité de ton navigateur Web et tôt ou tard tu feras de même sur la toile

Alors je vais y aller de mon avis (ce n'est que mon avis, mais je veux bien le partager...).

• L'utilisation du HTTPS en local n'est pas une obligation. C'est même une surcharge que je trouve inutile pour le NAS. Donc pas de HTTPS = pas d'alerte de sécurité... Tu peux donc utiliser tes IP locales en HTTP sans aucun problème, et donc ne pas avoir d'erreurs de certificat.
• Aujourd'hui, quasiment tous les sites sérieux basculent automatiquement en HTTPS. D'ailleurs, j'aimerai connaitre le pourcentage de personnes qui, navigant sur la toile, saisissent une URL en la préfixant manuellement par "HTTPS://". Personnellement, je peste quand je suis obligé de saisir manuellement une URL (j'ai plus de 40 années d'informatique derrière moi, et j'ai toujours limité au maximum ce que je dois saisir - le copier collé est devenu une seconde nature)
• Maintenant, si tu veux quand même utiliser le HTTPS en local, sans avoir à ouvrir ton NAS sur l'extérieur (si ton routeur gère le loopback), ou sans avoir à gérer un DSN Serveur sur ton NAS (si ton routeur ne gère pas le loopback), tu peux très bien accepter l'exception sur l'erreur de certificat au niveau de ton navigateur, et tu n'auras plus d'erreur.

Il y a 1 heure, oracle7 a dit :

tu prends l'habitude de déroger aux alertes de sécurité de ton navigateur Web et tôt ou tard tu feras de même sur la toile avec un site non sécurisé

Et bien si tu fait cela, c'est grave. Il ne faut jamais qu'une alerte soit ignorée. C'est un problème d'éducation informatique. Et ce que je crains surtout c'est le corolaire de cela : que pas d'alerte devienne un signe de sécurité, ce qui est tout aussi grave... Il faut toujours être vigilent sur la toile.

 

PS : je sens que mon intervention va générer des commentaires 🙄

[Jeff777]

il y a 27 minutes, Kramlech a dit :

je sens que mon intervention va générer des commentaires

J'y vais 😉

il y a 27 minutes, Kramlech a dit :

Tu peux donc utiliser tes IP locales en HTTP sans aucun problème, et donc ne pas avoir d'erreurs de certificat

Ce n'est pas vrai chez moi avec la redirection http vers https !

il y a une heure, CyberFr a dit :

Notre ami a déjà bien du pain sur la planche, alors ajouter DNS Server risque de l'embrouiller un peu plus

J'en conviens mais le jour ou il arrive à mettre en place la redirection http vers https, le reverse proxy et la zone locale, sans parler du HSTS....le petit cadenas est omniprésent (sauf bien sûr avec les adresses IP).

Modifié le 2 mars 2022 par Jeff777

[oracle7]

@Kramlech

Bonjour, je vais donc moi aussi y aller de mon commentaire histoire de remettre les choses à leur place sans aucune polémique de ma part.

il y a 25 minutes, Kramlech a dit :

Et bien si tu fait cela, c'est grave. Il ne faut jamais qu'une alerte soit ignorée.

C'était bien tout le sens de mon commentaire initial mais tel que tu me cites cela laisse à penser que je dis le contraire alors que j'ai bien dit en début de phrase que c'était une mauvaise pratique avec toutes les conséquences que cela impliquait.

Il y a 2 heures, oracle7 a dit :

c'est une très mauvaise pratique car indirectement tu (et certainement idem pour tes utilisateurs locaux) prends l'habitude de déroger ....

Donc, je vois pas d'inconvénient à ce que mes propos soient cités mais je ne souhaite pas qu'ils soient tronqués donc déformés et du coup sujets à être mal interprétés ensuite. Maintenant quand je dis une c...ie, j'admet tout à fait d'être repris et corrigé au besoin. Qui n'en dit pas ?

Cordialement

oracle7😉

[Kramlech]

il y a une heure, Jeff777 a dit :

Ce n'est pas vrai chez moi avec la redirection http vers https !

Je suis d'accord, mais tout le monde n'a pas cette redirection et tu ne fais donc pas du HTTP... Et sur le fond, tu ne peux pas dire que ce n'est pas vrai : Je persiste et signe qu'en HTTP, tu n'as pas d’alerte de certificat en utilisant une adresse IP.

@oracle7

J'ai repris la totalité de ta citation au début de mon post. Et j'ai commencé par réagir sur la première partie de ta phrase "Bah NON, tu as tout faux ..." que je contestais un peu.

Puis j'ai conclu sur la deuxième partie de ta phrase, mais c’était pour confirmer qu'il ne faut jamais cliquer à tout va pour accepter les dérogations (et donc j'allais plutôt dans ton sens). Mais à le relecture, c'est vrai que la forme était un peu maladroite... 🤪

Tout ceci avait pour but de faire réagir sur la tendance actuelle du forum de vouloir systématiquement aiguiller sur des solutions évidentes et élémentaires pour des spécialistes, mais qui souvent vont déstabiliser le novice qui pose la question (du style proposer d'installer un serveur DNS pour éviter les alertes de certificat en local). Alors qu'une petite explication sur le fond et une petite solution de contournement peuvent être tout à fait suffisantes (du style utiliser le HTTP ou accepter quelques exceptions dans le navigateur). 😉

[Jeff777]

il y a 9 minutes, Kramlech a dit :

Alors qu'une petite explication sur le fond et une petite solution de contournement peuvent être tout à fait suffisantes (du style utiliser le HTTP ou accepter quelques exceptions dans le navigateur)

C'est pas faux 👍

[Mickaël DRJ]

Merci beaucoup, les gars @CyberFr @oracle7 @Kramlech @cadkey @Jeff777

 

@CyberFr

Il y a 5 heures, CyberFr a dit :

Inutile de l'ouvrir en effet. Mais si tu tapes https://ndd.fr:5001 dans ton navigateur, tu dois te connecter à DSM en HTTPS sur le port sécurisé (5001 par défaut de mémoire ou celui que tu as défini).

 

Ah oui en effet ça fonctionne pour le web, mais par exemple pour Synology Drive, si je ferme le port 6690 de ma freebox, mes synchro ne se fond plus. La freebox V6, ne prends pas en charge la fonction du loopback...

Il y a 5 heures, Kramlech a dit :

PS : je sens que mon intervention va générer des commentaires 🙄

Oui le mien! Et j'accepte tous les avis 😁

 

@Jeff777

Il y a 5 heures, Jeff777 a dit :

J'en conviens mais le jour ou il arrive à mettre en place la redirection http vers https, le reverse proxy et la zone locale, sans parler du HSTS....le petit cadenas est omniprésent (sauf bien sûr avec les adresses IP).

J'y travail 😉, je profite que mon NAS soit vierge pour apprendre à mieux le connaître, je n'avais jamais eût l'occasion de configurer de VPN, reverse proxy et de la zone local

Ça commence s'éclaircira dans ma tête, je dormirais tranquille quand tout sera fonctionnel. 😛

Mais pour éviter tout erreur pour les autres utilisateurs (je dis bien les autres utilisateur bien sûre 😁) de mes PC connecté soit en local, soit en distant, un seul lien dans mes favoris en https et une seule configuration de mes appli en https, c'est à mon avis bien plus simple à gérer.

Je conçois le faite de prêter attention à la surcharge inutile de l'utilisation de l'https en local, dans le monde pro, mais pour ma petite utilisation que j'en ai, cela n'augmentera pas ma facture d'EDF de 10€ par an.

 

 

 

[oracle7]

@Mickaël DRJ

Bonjour,

il y a 28 minutes, Mickaël DRJ a dit :

i je ferme le port 6690 de ma freebox, mes synchro ne se fond plus

C'est on ne peux plus normal car Drive gère les synchronisations au travers de ce port 6690, donc à ne surtout pas fermer.

il y a 30 minutes, Mickaël DRJ a dit :

Je conçois le faite de prêter attention à la surcharge inutile de l'utilisation de l'https en local, dans le monde pro, mais pour ma petite utilisation que j'en ai, cela n'augmentera pas ma facture d'EDF de 10€ par an.

Désolé mais la surcharge n'est pas financière mais pour ton processeur du NAS car dans ce cas tu lui fais faire du HTTPS sur du HTTPS. En clair tu cryptes pour rien une deuxième fois quelque chose qui était déjà crypté, tu me suis ?

Cordialement

oracle7😉

[Mickaël DRJ]

@oracle7

C'est de plus en plus claire en tout cas...

En plus mon exemple n'était pas vraiment bon, car le Drive version PC n'utilise pas l'http(s) seulement le port de synchro sécurisé 6690.

Je parlerais plutôt de mon Drive version IOS qui lui devrait être toujours être utiliser en http car inutile de doublé la sécurité au travers de mon VPN qui lui est déjà sécurisé, comme si j'étais sur mon réseau local.

Mais ce qui est sur c'est que je vais pas modifié les IPs ou utiliser une app un coup en http un coup en https, donc en attendant d'avoir un reverse proxy et une zone locale, mon VPN sera utilisé en local ou en distant avec toute les app en http au travers.

Mais la encore on va me dire que utilisé mon VPN en local, c'est une surcharge inutile, mais si les appli avait la possibilité d'enregistré plusieurs configuration, local / distant, la question ne se poserais un peux moins...

Je vais testé de creusé du côté reverse proxy pour mon drive IOS, accès à ma freebox à distance, etc.. et une petite zone locale pour la suite, oui, oui, vous allez pas vous débarrassé de moi comme ça 😅 ...

[CyberFr]

Il y a 16 heures, CyberFr a dit :

Inutile de l'ouvrir en effet. Mais si tu tapes https://ndd.fr:5001 dans ton navigateur, tu dois te connecter à DSM en HTTPS sur le port sécurisé (5001 par défaut de mémoire ou celui que tu as défini).

Il y a 15 heures, Kramlech a dit :

L'utilisation du HTTPS en local n'est pas une obligation. C'est même une surcharge que je trouve inutile pour le NAS. Donc pas de HTTPS = pas d'alerte de sécurité... Tu peux donc utiliser tes IP locales en HTTP sans aucun problème, et donc ne pas avoir d'erreurs de certificat.

Le titre du fil de discussion est "Un point sur les certificats". Difficile de tester un certificat si l'on ne se connecte pas en HTTPS.

Il y a 15 heures, Kramlech a dit :

Aujourd'hui, quasiment tous les sites sérieux basculent automatiquement en HTTPS. D'ailleurs, j'aimerai connaitre le pourcentage de personnes qui, navigant sur la toile, saisissent une URL en la préfixant manuellement par "HTTPS://".

Effectivement j'ai mis en place une redirection HTTP vers HTTPS en créant un fichier .htaccess à la racine de Web Station mais la redirection n'opère que sur le site Web et pas sur l'interface d'administration de DSM.

[Jeff777]

il y a 12 minutes, CyberFr a dit :

Difficile de tester un certificat si l'on ne se connecte pas en HTTPS.

🤣👍

il y a 10 minutes, CyberFr a dit :

Effectivement j'ai mis en place une redirection HTTP vers HTTPS en créant un fichier .htaccess à la racine de Web Station mais la redirection n'opère que sur le site Web et pas sur l'interface d'administration de DSM.

Bonjour,

Qu'est-ce que tu entends par interface d'administration de DSM ? J'ai des entrées du reverse proxy vers les DSM de mes deux nas et je me connecte en https avec elles grâce au loopback, même en omettant https:// .

 

[CyberFr]

il y a 26 minutes, Jeff777 a dit :

Qu'est-ce que tu entends par interface d'administration de DSM ? J'ai des entrées du reverse proxy vers les DSM de mes deux nas et je me connecte en https avec elles grâce au loopback, même en omettant https://

Effectivement, si tu passes par un reverse proxy c'est lui qui fera la translation en HTTPS, c'est le cas chez moi. Mais si tu te connectes simplement en tapant ndd.fr:5001 tu accèdes à l'interface de DSM en HTTP. La redirection n'opère pas.

Par contre si je tape www.ndd.fr j'accède bien au site Web en HTTPS grâce au fichier .htaccess.

[Jeff777]

il y a 7 minutes, CyberFr a dit :

Mais si tu te connectes simplement en tapant ndd.fr:5001 tu accèdes à l'interface de DSM en HTTP. La redirection n'opère pas.

Et bien chez moi ça fonctionne aussi. Cherchez l'erreur.

Pourquoi le loopback ne fonctionnerait-il pas dans ce cas ? De toutes manières avec le HSTS ou bien ça passe ou ça casse non?

[CyberFr]

il y a 3 minutes, Jeff777 a dit :

Et bien chez moi ça fonctionne aussi. Cherchez l'erreur.

Là je colle.

il y a 5 minutes, Jeff777 a dit :

Pourquoi le loopback ne fonctionnerait-il pas dans ce cas ? De toutes manières avec le HSTS ou bien ça passe ou ça casse non?

J'ai préféré ne pas activer le HSTS car il est appliqué quelque soit le site, c'est forcé par le navigateur. J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

[Jeff777]

il y a 8 minutes, CyberFr a dit :

J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

Oui j'ai vu ça aussi. Un site accessible en https devenant accessible uniquement en http ne pourrait plus être atteint. Depuis plusieurs mois que j'ai activé le preloaded je n'ai pas rencontré de soucis.