Certificat ECC

[Jeff777]

Bonjour à tous,

Lors du dernier renouvellement de mon certificat Let's Encrypt, j'ai eu un plantage et après avoir pas mal bidouillé j'ai obtenu un certificat ECC.

Cela va maintenant faire presque deux mois que mes deux nas fonctionnent sans problème avec ce certificat. Pourtant il me semble avoir lu que DSM n'acceptait pas ce type de certificat.

Est-ce que ce n'est plus le cas avec DSM7.2 ? Existe-il des restrictions ?

Edit :

Je me réponds car je viens de lire ceci pour DSM7.2 😉:

 

Remarque :

• Les certificats intermédiaires sont optionnels pour certains certificats émis par des autorités de certification.
• Les certificats doivent être au format X.509 PEM ou DER.
• Les clés privées prennent en charge les formats ECC et RSA, mais le format RSA ne peut pas être protégé par une phrase de passe.

Modifié le 5 novembre 2024 par Jeff777

[Jeff777]

Bonjour,

Je reviens sur ce post. Sur le forum, je n'ai rien trouvé sur ce sujet à part qu'il n'était pas possible d'obtenir ce type de certificat avant DSM 7.2.

Par curiosité: y a t'il des membres qui utilisent ce type de certificat et est-t-il obtenu par renouvellement automatique ?

.

Modifié samedi à 06:10 par Jeff777

[Mic13710]

Pas chez moi. Je passe par acme.sh via docker et je suis toujours en RSA. Mes deux certificats sont respectivement en R10 et R11 et sont installés indépendamment sur mes deux NAS.

Renouvellements automatiques et déploiements se sont fait sans souci.

[Jeff777]

Merci de ta réponse @Mic13710,

Je ne sais pas ce qui c'est passé pour que j'obtienne ce certificat. Le script est  boiteux car j'ai maintenant un dossier ndd_ ecc qui récupère le certificat et cela empèche le déploiement en automatique vers le nas qui n'héberge pas le script. Curieusement j'obtiens toujours un renouvellement automatique pour le nas principal.

Sinon le certificat ecc c'est plutôt bien non ?

[Mic13710]

Il y a 7 heures, Jeff777 a dit :

Sinon le certificat ecc c'est plutôt bien non ?

Oui, mais as-tu besoin d'un niveau supérieur de certification ? Si ça bloque au niveau du déploiement, à quoi bon le conserver ? Autant le renouveler pour un certificat RSA moins exigeant mais bien suffisant pour nos humbles chaumières ☺️

[Jeff777]

Tu as raison mais je n'ai rien fait pour l'obtenir et donc je ne suis pas certain de pouvoir revenir en arrière.

Bon l'essentiel c'est de ne pas perdre en sécurité.

[StéphanH]

Cette discussion  m’intéresse !

sur mon 718+, j’ai un certificat Let’s Encrypt qui apparaît comme comme R11 et RSA/ECC

par contre, sur le 124 tout neuf, sans rien installer, j’ai un certificat R11 intitulé Synology DDNS également RSA/ECC

Je suis étonné. Il me semblait que jusqu’à maintenant, les systèmes DSM étaient livrés avec un certificat auto signé. Ce serait différent en primo installation 7.2 ?

par ailleurs, j’avoue ne pas pas connaître la différence entre RSA et ECC …

Modifié il y a 15 heures par StéphanH

[Jeff777]

Bonjour @StéphanH

J'ai trouvé ceci qui explique la différence : https://www.tbs-certificats.com/FAQ/fr/explications_ECC.html

Mon certificat est marqué E6  ECC. Par contre il emprunte une chaîne ECDSA (Voir le lien ci-dessus et https://letsencrypt.org/fr/certificates/)

Tout cela dépasse ma compétence mais l'essentiel c'est que j'ai conservé mes A+ avec ssllab. 

Mon seul soucis c'est que cela met le souk lors du renouvellement automatique car certains dossiers/fichiers ont un suffixe  "_ecc"

Modifié il y a 3 heures par Jeff777

[StéphanH]

Il y a 1 heure, Jeff777 a dit :

Tout cela dépasse ma compétence

+1