Date d'expiration certificat SSL de couleur orange: signification?

[CoolRaoul]

Bonjour,

Je m'aperçois que le certificat associé au domaine DDNS fourni par Synology a sa date d'expiration de couleur orange:

Qui saurait me dire ce que cela signifie ? (peut-être aussi que c'était déjà le cas que je n'avais pas remarqué ? ) 

[Mic13710]

Tiens, tu utilises une interface en anglais ? 😉

C'est pour te signaler qu'il reste moins de 30 jours de validité avant expiration. S'agissant d'un certificat Synology Let's Encrypt (quoi que ce soit la première fois que je vois un myds.me), il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement.

Edit : comme la date est proche, il se peut qu'il soit renouvelé dans les prochaines heures. Attends un peu avant d'agir.

[PiwiLAbruti]

Le certificat est valide jusqu'à expiration, il faudra juste vérifier qu'il est bien renouvelé avant l'expiration (la veille par exemple).

[CoolRaoul]

il y a 34 minutes, Mic13710 a dit :

il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Je vais tenter le renouvellement manuel

 

il y a 35 minutes, Mic13710 a dit :

Tiens, tu utilises une interface en anglais

je prefere. En cas de besoin de chercher des explications à un message ou un libellé sur internet ça me ramène beaucoup plus de réponses

 

[cadkey]

Il y a 6 heures, CoolRaoul a dit :

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE.

Bonjour, j'avais lu quelque part que le port 80 n'était plus nécessaire pour le renouvellement LE.

J'ai trouvé ceci: https://community.letsencrypt.org/t/is-port-80-required-for-renewals/121432

Modifié le 24 avril par cadkey

[PiwiLAbruti]

Si la méthode HTTP-01 est utilisée, le port tcp/80 doit impérativement être ouvert, tout comme le port tcp/443 avec la méthode TLS-ALPN-01.

Seule la méthode DNS-01 ne nécessite aucune ouverture de port (mais un accès à la zone DNS pour automatiser la validation).

https://letsencrypt.org/docs/challenge-types/

[cadkey]

@PiwiLAbruti, je ne comprends pas la différence entre les deux premières méthodes. Il n'y a qu'une façon dans les options DSM pour créer un certificat LE. Je me trompe?

[PiwiLAbruti]

Oui, DSM ne propose que la méthode HTTP-01 (HTTP sur le port tcp/80).

La méthode TLS-ALPN-01 fonctionne de la même manière mais avec une connexion chiffrée (HTTPS sur le port tcp/443).

La méthode DNS-01 utilise des clés stockées dans des enregistrements DNS de type TXT. Il faut disposer d'un nom de domaine pour pouvoir l'utiliser.

[cadkey]

Ok, donc avec DSM si je ferme le port 80, le renouvellement ne peut pas se faire?

[PiwiLAbruti]

Oui, c'est ça.

Dans les débuts de Let's Encrypt, il y avait deux adresses IP facilement identifiables qui se connectaient au NAS pour valider les certificats. Il suffisait alors de n'ouvrir le port tcp/80 que pour ces deux adresses IP dans le pare-feu du NAS.

Aujourd'hui, ce n'est plus possible et Let's Encrypt tente même de rassurer ses utilisateurs.

[CoolRaoul]

Le 25/04/2024 à 9:49 AM, PiwiLAbruti a dit :

Let's Encrypt tente même de rassurer ses utilisateurs.

Je ne vois rien de choquant dans leurs arguments.
Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité.
Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair.

Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web.
Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https :

Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct.
J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur  WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats

Modifié le 26 avril par CoolRaoul