Aller au contenu

Renouvellement sécurisé du certificat Let's Encrypt

Boaa PotPot

Par Boaa PotPot
dans VPN Serveur

 Partager

Messages recommandés

Boaa PotPot Newbie

Boaa PotPot

Posté(e)
Posté(e)

Bonjour à tous

J'utilise un NAS synolgy DS920+ et tous particulièrement (objet de cette question) le paquet Synolgy VPN serveur sur lequel j'ai configuré le serveur OpenVPN. J'utilise un certificat qui pointe sur un nom DNS qui est de la forme hote.mondomaine.com. Je pense avoir bien suivi les tutos pour publier tout cela en toute sécurité mais un "détail" me gène et je n'y trouve pas de solution 😕

Pour établir ce certificat et pour qu'il se renouvelle seul, dans le pare-feu je dois ouvrir les ports 80 et 443. Je pense avoir compris comment fonctionne Let's Encrypt et comprends cette nécessité.

Cependant, l'idée de rendre accessible ces ports au monde entier me rebute un peu. J'aurais préféré dans ma règle de pare-feu limiter l'accès aux seuls qui en ont besoin : les serveurs Let's Encrypt !

J'ai tenté de limiter les "emplacements" en spécifiant plein de pays (US, CA, FR, GB, …) en prenant soin de ne pas autoriser les pays que je trouve plus à risque (Russie, Corée, Chine, …) et c'est là qu'est l'os, mon certificat ne se renouvelle plus 😭 Notons qu'à ce moment, si je valide "tous les emplacements" le certificat se renouvelle et le VPN fonctionne.

La question : comment faites vous ?
Avez vous une liste de pays que je dois autoriser pour que mon certificat Let's Encrypt se renouvelle sans problème ?

Je vous remercie par avance de l'attention que vous porterez à ma demande.

@+Laurent

0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Je n'utilise pas la méthode HTTP de Let's Encrypt (HTTP-01) pour les raisons précises que tu évoques (sécurité zéro). À une époque révolue où les adresses IP des serveurs Let's Encrypt étaient fixes, c'était plus acceptable de n'ouvrir qu'aux quelques IP réellement utilisées.

Bref, j'utilise la méthode par DNS (DNS-01). Ainsi, il n'y a aucun port à autoriser pour que le renouvellement fonctionne.

Malheureusement Synology ne propose pas cette méthode nativement dans DSM, et il faut donc mettre les mains dans le cambouis.

Il y a un tutoriel sur le forum qui explique comment procéder avec un domaine enregistré chez OVH. Il est possible de transposer ce tutoriel pour d'autres registrar que OVH car acme.sh en supporte toute une ribambelle.

Il y a 1 heure, Boaa PotPot a dit :

J'ai tenté de limiter les "emplacements" en spécifiant plein de pays (US, CA, FR, GB, …) en prenant soin de ne pas autoriser les pays que je trouve plus à risque (Russie, Corée, Chine, …)

Les USA font parti des pays à risque 😅 (le nombre de scans lancés depuis des IP US a explosé ces derniers mois, on se demande bien pourquoi 😇).

0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e) (modifié)

Pour en revenir aux adresses IP, il semblerait que Let's Encrypt n'expose plus directement les adresses IP de ses serveurs Amazon, mais passe par CloudFlare. Les résolutions inverses pointent bien vers le nom du serveur Let's Encrypt d'origine, ce qui pourrait laisser croire que les IP sont fixes.

Ça reviendrait à ouvrir des accès pour les sources suivantes :

  • 64.78.149.164
  • 66.133.109.36
  • 23.178.112.[100-119]
  • 23.178.112.[200-219]

Il faudrait vérifier si ces adresses IP changent dans le temps : 

66.133.109.36   outbound1.letsencrypt.org       outbound1.letsencrypt.org
23.178.112.100  outbound1a.letsencrypt.org      outbound1a.letsencrypt.org
23.178.112.101  outbound1b.letsencrypt.org      outbound1b.letsencrypt.org
23.178.112.102  outbound1c.letsencrypt.org      outbound1c.letsencrypt.org
23.178.112.103  outbound1d.letsencrypt.org      outbound1d.letsencrypt.org
23.178.112.104  outbound1e.letsencrypt.org      outbound1e.letsencrypt.org
23.178.112.105  outbound1f.letsencrypt.org      outbound1f.letsencrypt.org
23.178.112.106  outbound1g.letsencrypt.org      outbound1g.letsencrypt.org
23.178.112.107  outbound1h.letsencrypt.org      outbound1h.letsencrypt.org
23.178.112.108  outbound1i.letsencrypt.org      outbound1i.letsencrypt.org
23.178.112.109  outbound1j.letsencrypt.org      outbound1j.letsencrypt.org
23.178.112.110  outbound1k.letsencrypt.org      outbound1k.letsencrypt.org
23.178.112.111  outbound1l.letsencrypt.org      outbound1l.letsencrypt.org
23.178.112.112  outbound1m.letsencrypt.org      outbound1m.letsencrypt.org
23.178.112.113  outbound1n.letsencrypt.org      outbound1n.letsencrypt.org
23.178.112.114  outbound1o.letsencrypt.org      outbound1o.letsencrypt.org
23.178.112.115  outbound1p.letsencrypt.org      outbound1p.letsencrypt.org
23.178.112.116  outbound1q.letsencrypt.org      outbound1q.letsencrypt.org
23.178.112.117  outbound1r.letsencrypt.org      outbound1r.letsencrypt.org
23.178.112.118  outbound1s.letsencrypt.org      outbound1s.letsencrypt.org
23.178.112.119  outbound1t.letsencrypt.org      outbound1t.letsencrypt.org
64.78.149.164   outbound2.letsencrypt.org       outbound2.letsencrypt.org
23.178.112.200  outbound2a.letsencrypt.org      outbound2a.letsencrypt.org
23.178.112.201  outbound2b.letsencrypt.org      outbound2b.letsencrypt.org
23.178.112.202  outbound2c.letsencrypt.org      outbound2c.letsencrypt.org
23.178.112.203  outbound2d.letsencrypt.org      outbound2d.letsencrypt.org
23.178.112.204  outbound2e.letsencrypt.org      outbound2e.letsencrypt.org
23.178.112.205  outbound2f.letsencrypt.org      outbound2f.letsencrypt.org
23.178.112.206  outbound2g.letsencrypt.org      outbound2g.letsencrypt.org
23.178.112.207  outbound2h.letsencrypt.org      outbound2h.letsencrypt.org
23.178.112.208  outbound2i.letsencrypt.org      outbound2i.letsencrypt.org
23.178.112.209  outbound2j.letsencrypt.org      outbound2j.letsencrypt.org
23.178.112.210  outbound2k.letsencrypt.org      outbound2k.letsencrypt.org
23.178.112.211  outbound2l.letsencrypt.org      outbound2l.letsencrypt.org
23.178.112.212  outbound2m.letsencrypt.org      outbound2m.letsencrypt.org
23.178.112.213  outbound2n.letsencrypt.org      outbound2n.letsencrypt.org
23.178.112.214  outbound2o.letsencrypt.org      outbound2o.letsencrypt.org
23.178.112.215  outbound2p.letsencrypt.org      outbound2p.letsencrypt.org
23.178.112.216  outbound2q.letsencrypt.org      outbound2q.letsencrypt.org
23.178.112.217  outbound2r.letsencrypt.org      outbound2r.letsencrypt.org
23.178.112.218  outbound2s.letsencrypt.org      outbound2s.letsencrypt.org
23.178.112.219  outbound2t.letsencrypt.org      outbound2t.letsencrypt.org
172.65.32.248   acme-v02.api.letsencrypt.org    ca80a1adb12a4fbdac5ffcbc944e9a61.pacloudflare.com
172.65.46.172   acme-staging-v02.api.letsencrypt.org    56a5f4b0bc8146689ec3e272c43525f9.pacloudflare.com

 

Modifié par PiwiLAbruti
0
Boaa PotPot Newbie

Boaa PotPot

Posté(e)
  • Auteur
Posté(e)

Nombreux gros mercis à toi pour tes réponses.

Pour ta première suggestion, j'ai bien lu la page et les commentaires (les premiers et les derniers) … mais force est de constater que je manque de compétences, plus clairement je ne comprends presque rien !

Je vais limiter les accès aux IP que tu cites, je tâcherai de revenir le dire ici si ça venait à ne plus fonctionner.

Encore merci.
@+Laurent

0
Boaa PotPot Newbie

Boaa PotPot

Posté(e)
  • Auteur
Posté(e)

Pfoaaaa ! Ben non alors, je n'ai pas su créer une règle pour spécifier toutes les IP ...

J'ai été obligé de créer 4 règles

image.png.01bc40962d5e4a44bd15fddcee770746.png

C'est vraiment pas joli, on verra si ça fonctionne au prochain renouvellement.

@+Laurent

0
alan.dub Community Regular

alan.dub

Posté(e)
Posté(e) (modifié)

Une toute petite question me concernant (et pardon pour l’incruste 😅).

Pourquoi ne pas ouvrir au monde les ports 80 et 443 ?

Perso c’est ce que je fais depuis 2018, alors si je fait une bêtise autant corriger, mieux vaut tard que jamais 😅).

Capture d’écran 2025-08-21 à 16.49.36.png

Modifié par alan.dub
0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)
il y a 11 minutes, alan.dub a dit :

Pourquoi ne pas ouvrir au monde les ports 80 et 443 ?

Par le passé, certains se sont fait cryptolocker leurs fichiers car ces ports (et d'autres) étaient totalement ouverts alors que Web Station et/ou DSM présentaient des failles de sécurité activement exploitées. Et ce désagrément se reproduira tôt ou tard.

De manière générale, on ouvre les accès réseau au minimum nécessaire afin de garantir un niveau de sécurité minimum.

0
alan.dub Community Regular

alan.dub

Posté(e)
Posté(e) (modifié)

Effectivement, ça pue du c*l 😅

Concernant le 443, comme je reste en France... autant l'ouvrir sur d'autres pays le jour où j'en aurais besoin, non ?

Concernant le 80, je peux activer son ouverture au besoin (au moment de la MAJ du certificat "Let's Encrypt" : que je devrais effectuer en MANU).

 

Capture d’écran 2025-08-21 à 17.28.06.png

Modifié par alan.dub
0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.