Un point sur les certificats

[oracle7]

@CyberFr

Bonjour,

il y a 13 minutes, CyberFr a dit :

J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

OUi cela a été vrai un temps (au début avec la peur du nouveau si je puis dire 🤪) mais surtout parce que justement c'était et c'est forcé (HTTPS) par le navigateur quelque soit le site. Je crois tout au contraire que c'est une bonne chose que de passer systèmatiquement par HTTPS, on évite ainsi les sites "pourris" qui exploitent les failles du HTTP et ce n'est pas pour quelques sites corrects en HTTP dont l'on perd l'accès qui soit vraiment un problème (sur ce point grillé par @Jeff777🤣).  Mais ce n'est que mon avis...

De toutes façons si le HSTS te gêne il suffit de le désactiver dans ton navigateur Web et de vider son cache.

Sinon pour accèder à l'interface DSM via Reverse Proxy il me paraît bien plus sain comme l'a dis @Jeff777 de passer par une URL dédiée (par ex dsm.ndd.tld) que de le faire via ndd.tld tout court car avec le domaine "court" cela laisse faire le mécanisme standard automatique de DSM qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers DSM du NAS (donc vers le port 5000 ou 5001). En plus, cette URL dediée te permet d'utiliser d'autres ports pour DSM (même si accessoirement je trouve que cela ne sert à rien de les changer vu qu'ils nesont pas exposés à l'Internet).

Cordialement

oracle7😉

[PiwiLAbruti]

il y a 17 minutes, oracle7 a dit :

[...], on évite ainsi les sites "pourris" qui exploitent les failles du HTTP [...]

Les failles du protocole HTTP sont tout aussi exploitables en HTTPS. La seule différence est qu'en HTTPS les communications sont chiffrées entre le client et le serveur de façon à limiter les attaques de type MITM (possibles malgré tout avec un proxy SSL, mais c'est plus délicat à mettre en oeuvre donc moins courant car plus ciblé).

[Jeff777]

Je viens de me rendre compte que plus haut j'ai parlé de zone locale. Je confirme que ce n'est pas ma zone locale qui me permet d'accéder localement au DSM mais bien le reverse proxy dsm.ndd et le loopback. Dans ma zone locale j'ai une entrée nas1.ndd qui pointe vers l'IP locale du nas et qui me sert pour les connexions à celui-ci (synchro Drive, déploiement certificats etc..).

Avant j'avais mis dans la zone locale la même url que le reverse proxy du DSM et j'avais des soucis, mais sur les conseils de @.Shad. j'ai corrigé et plus de pb.

Donc :

1/reverse proxy  dsm.ndd:443 ==> iplocalenas:5000

2/zone locale                 nas.ndd  A  Iplocalenas  

on peut ajouter une zone locale inverse qui fait pointer iplocalenas vers nas.ndd  et faire la même chose en IPV6 avec éventuellement une url distincte . Comme cela au lieu de voir des IP locales on voit le nom du périphérique (dans pihole par exemple)

Je m'expose à des commentaires de @Kramlech 😉

il y a 36 minutes, PiwiLAbruti a dit :

à limiter les attaques de type MITM

Les attaques "man in the middle" c'est le HSTS qui les bloque pas le HTTPS non ? 

Modifié le 3 mars 2022 par Jeff777

[PiwiLAbruti]

@Jeff777 Oui, c'est bien ça.

[CyberFr]

il y a une heure, oracle7 a dit :

De toutes façons si le HSTS te gêne il suffit de le désactiver dans ton navigateur Web et de vider son cache.

C'est ce que j'ai fait depuis un certain temps dans la mesure où je ne souhaitais pas activer le HSTS.

il y a une heure, oracle7 a dit :

Sinon pour accèder à l'interface DSM via Reverse Proxy il me paraît bien plus sain comme l'a dis @Jeff777 de passer par une URL dédiée (par ex dsm.ndd.tld) que de le faire via ndd.tld tout court car avec le domaine "court" cela laisse faire le mécanisme standard automatique de DSM qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers DSM du NAS (donc vers le port 5000 ou 5001)

Dans mon exemple ndd.fr ne désigne pas un reverse proxy mais je dispose par ailleurs d'un reverse proxy pour accéder à DSM en HTTPS. De plus Web Station est installé, ainsi il suffit de taper ndd.fr pour accéder au site Web en HTTPS.

il y a 4 minutes, PiwiLAbruti a dit :

Oui, c'est bien ça.

Bon, je vais m'intéresser au HSTS. C'est quoi au juste le preload ?

il y a une heure, PiwiLAbruti a dit :

Les failles du protocole HTTP sont tout aussi exploitables en HTTPS. La seule différence est qu'en HTTPS les communications sont chiffrées entre le client et le serveur de façon à limiter les attaques de type MITM (possibles malgré tout avec un proxy SSL, mais c'est plus délicat à mettre en oeuvre donc moins courant car plus ciblé).

Vu le contexte géopolitique ça va devenir plus courant 🤢

[Jeff777]

il y a 44 minutes, CyberFr a dit :

Bon, je vais m'intéresser au HSTS. C'est quoi au juste le preload ?

Il y a un fil sur le forum qui traite de cela. 

Sinon sur le net :

HSTS (HTTP Strict Transport Security) est un entête de réponse qui demande au navigateur de toujours utiliser SSL/TLS pour communiquer avec votre site. Qu’importe si l’utilisateur ou le lien qu’il clique spécifie HTTP, HSTS forcera l’usage d’HTTPS. Toutefois, cela laisse l’utilisateur vulnérable lors de sa toute première connexion à un site. L’HSTS preloading corrige donc cela.

L’HSTS preloading :

Il existe une liste qui permet d’inclure un domaine dans la liste HTTP Strict Transport Security preload de Chrome. Il s’agit d’une liste de sites qui sont codés en dur dans Chrome comme étant uniquement servis en HTTPS. Firefox, Safari, IE 11 and Edge ont également des listes HSTS preload qui incluent la liste de Chrome.

Pour cette raison il est important que notre domaine soit inscrit sur la liste preload.

 

[CyberFr]

Dans Firefox j'ai juste une préférence "Activer le mode HTTPS". Il n'est pas fait mention de HSTS.

[Jeff777]

Je n'ai rien fait dans le paramétrage navigateur. Je n'utilise pas Firefox mais dans les tests https://www.ssllabs.com/ssltest j'obtiens :

 

Strict Transport Security (HSTS)	Yes max-age=63072000; includeSubDomains; preload
HSTS Preloading	Chrome  Edge  Firefox  IE

 

Pour mettre en oeuvre le HSTS il faut cocher la case HSTS dans toutes tes entrées du reverse proxy ainsi que dans les config virtual host, et ajouter la ligne suivante au fichier .htaccess :

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

puis remplir la demande  : https://hstspreload.org/

L'inscription de ton domaine dans les listes peuvent prendre plusieurs jours.

 

[oracle7]

@CyberFr

Bonjour,

il y a une heure, CyberFr a dit :

Dans Firefox j'ai juste une préférence "Activer le mode HTTPS". Il n'est pas fait mention de HSTS.

Oui cela ne parle pas de HSTS mais c'est bien cela qui l'active au niveau navigateur FF.

Ensuite pour le NAS, tu suis ce qu'a donné @Jeff777 précemment et tout roule. Sinon un peu de lecture sur le HSTS.

Cordialement

oracle7😉

[CyberFr]

@Jeff777, @oracle7, merci pour les infos.

Pu*ain, avec un NAS il y a toujours du boulot en perspective 🧑‍🎓

[Mickaël DRJ]

J'ai préféré ne pas activer le HSTS car il est appliqué quelque soit le site, c'est forcé par le navigateur. J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

C’est marqué dans le tuto concernant la sécurité du NAS


Envoyé de mon iPhone en utilisant Tapatalk

[CyberFr]

Merci @Mickaël DRJ de me rafraîchir la mémoire 🤣

[oracle7]

@Mickaël DRJ et @CyberFr

Bonjour,

Je vous renvoie à ma précédente reponse à ce sujet ici.

Cordialement

oracle7😉

[CyberFr]

Bonjour @oracle7,

Il y a 16 heures, oracle7 a dit :

Je vous renvoie à ma précédente reponse à ce sujet ici.

Je fais comment pour le renouvellement des certificats Let's Encrypt qui se font en HTTP sur le port 80 ?

[oracle7]

@CyberFr

Bonjour,

Je crains que tu ne mélanges les choses.

Le renouvellement de certificat LE ne passe pas par un navigateur Web donc pas d'interférence avec le HSTS qui oblige à utiliser des URL en HTTPS.

Pour le renouvellement du certificat LE, il te suffit juste que les ports 80 et 443 soient transférés (NAT) de la box vers le NAS et qu'ils soient ouverts/autorisés dans le par-feu du NAS. Ni plus ni moins. Attention à ne pas limiter géographiquement ces ports à la France car les serveurs LE sont aux USA !

Cordialement

oracle7😉

[CyberFr]

@oracle7,

il y a 28 minutes, oracle7 a dit :

Je crains que tu ne mélanges les choses.

Le renouvellement de certificat LE ne passe pas par un navigateur Web donc pas d'interférence avec le HSTS qui oblige à utiliser des URL en HTTPS.

Mais lorsque j'active le HSTS, l'accès à l'interface de DSM se fait en HTTPS et non en HTTP sur le port 80.

[Jeff777]

@CyberFr Je crois que la réponse est dans la citation😉

[CyberFr]

Je n'ai pas tout compris mais l'essentiel est que le HSTS ne bloque pas le renouvellement des certificats.

[Mickaël DRJ]

Le port 80 est utilisé pour mettre à jour les certificats, mais le faite d’utiliser l’option HSTS ne va pas modifié ta demande de certificats vers le port 443, cela interagit seulement sur le navigateur.

Pour une fois, moi j’ai bien compris , je suis peut-être pas un cas, si désespéré que cela.


Envoyé de mon iPhone en utilisant Tapatalk

[CyberFr]

@oracle7, @Jeff777, n'hésitez pas à vous payer ma tête surtout ! Vos éclats de rire adressés à @Mickaël DRJ en sont l'illustration.

Il y a 1 heure, Mickaël DRJ a dit :

Pour une fois, moi j’ai bien compris , je suis peut-être pas un cas, si désespéré que cela.

Et il enfonce le clou en plus. Bravo pour tes progrès Mickaël DRJ, Tu bosses et tu avances, félicitations 👍

[oracle7]

@CyberFr

Bonjour,

Ne le prends pas mal, c'est juste de la badinerie amicale ...😜

Cordialement

oracle7😉

[CyberFr]

il y a 15 minutes, oracle7 a dit :

Ne le prends pas mal, c'est juste de la badinerie amicale ...😜

Je l'ai pris comme ça bien sûr 🙂 Je devrais utiliser des smileys plus souvent.