Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour,

excusez moi si mon sujet n'est pas posté au bon endroit, je suis un peu perdu dans ce forum...

J'ai activer la connection depuis l'extérieur en https avec un certificat auto-signé créé par le DSM. Je voudrais savoir comment pourrais je revenir à un fonctionnement sans certificat de sécurité mais toujours en https comme ca l'ai au depart de cette fonctionnalité (quitte à avoir un message du navigateur à chaques fois) ?

Merci de votre aide...

Modifié par Osteel
Posté(e) (modifié)

bonjour,

pourquoi ne pas laisser le certificat dans ce cas?

Cordialement

Parceque je souhaite l'enlever...

Sinon personnes n'a d'idées ?

Modifié par Osteel
Posté(e)

je ne comprend vraiment pas l’intérêt. et pas de httpS sans certificat.

m'enfin bon deux solution, commenter les conf du syno pour les certifs, soit forward le port 5001 sur le 5000 pour que de l’extérieur il n'y est pas de certificat.

mais bon j'aimerais savoir la raison qui te pousse a faire cela.

Posté(e) (modifié)

je ne comprend vraiment pas l’intérêt. et pas de httpS sans certificat.

Ben moi je dirai carrément que je ne comprend pas *du tout*, car comme tu le dis, https *implique* certificat, et il y a pas à tortiller:

Ref: http://serverfault.com/a/343444

You CAN'T use https without any certificate. You need either to buy a trusted certificate or create a self-signed one for testing. Part of configuring your web server to use https is to point it to the correct key files. Of course, this applies to all web servers not only to iis

Modifié par CoolRaoul
Posté(e) (modifié)

Bon.. puisque tout le monde veux savoir ....

En activant la connection en https et la redirection de toutes connections en http vers https, je me heurtais à un message normal d'erreure de sécurité, puisque, d'origine le serveur n'utilise aucun certificat de sécurité et par ce fait la connection en https peux garantir la confidentialité des données par un algorithme de chiffrement (symétrique 3DES, AES, ou asymétrique RSA, diffie hellman), l'intégrité des données par un algorithme de hachage (SHA, MD5) mais pas l'authenticité (CHAP, ms-CHAP, certificat...) car aucun certificat n'est utilisé. D'où le classique message d'erreur des navigateurs "ce site ne peux être authentifié, voulez vous poursuivre la navigation?" avec le choix de "poursuivre quand même" ou de "fermer cette fenêtre" (il me semble)

je ne comprend vraiment pas l’intérêt. et pas de httpS sans certificat.

m'enfin bon deux solution, commenter les conf du syno pour les certifs, soit forward le port 5001 sur le 5000 pour que de l’extérieur il n'y est pas de certificat.

mais bon j'aimerais savoir la raison qui te pousse a faire cela.

Le fait d'avoir un S à HTTPS ne veux absolument pas dire que tu utilise un système de certificat pour l'authentification du serveur/service. Ce S montre que le protocole http essaie de réunir les 3 ingrédients d'une connection sécurisé à savoir : la confidentialité, l'intégrité et l'authenticité sans aucune garantie de réussite ! Tu peux naviguer dans un serveur https sans utiliser de certificat mais par contre ton navigateur va obligatoirement te le signaler avec un signe quelconque (croix rouge devant https, point d'exclamation, etc......)

Depuis que j'ai fais créer ce certificat "auto-signé" par le DSM et dans le DSM, tout les PC avec lequel je me connecte et qui ne possede pas ce certicat dans leur navigateurs sont jetés. En ajoutant manuellement ce certificat dans les navigateurs, je me heurte quand même à un message d'erreur : à savoir que le site ne peux pas être sûr car la connection utilise un certificat non validé par une authorité de certification. Là aussi c'est Normal.

Je rejoint le lien en anglais que vous avez posé "You CAN'T use https without any certificate. You need either to buy a trusted certificate or create a self-signed one for testing".

Je reviens donc à ma question, comment revenir à un fonctionnement d'origine, sans ce certificat auto-signé créé par le système synology? ou comment supprimer un certificat rentré dans le service http du syno ?

Ps: excusez moi pour les fautes d'orthographe s'il en reste...

Modifié par Osteel
Posté(e)

En activant la connection en https et la redirection de toutes connections en http vers https, je me heurtais à un message normal d'erreure de sécurité, puisque, d'origine le serveur n'utilise aucun certificat de sécurité et par ce fait la connection en https peux garantir la confidentialité des données par un algorithme de chiffrement (symétrique 3DES, AES, ou asymétrique RSA, diffie hellman), l'intégrité des données par un algorithme de hachage (SHA, MD5) mais pas l'authenticité (CHAP, ms-CHAP, certificat...) car aucun certificat n'est utilisé. D'où le classique message d'erreur des navigateurs "ce site ne peux être authentifié, voulez vous poursuivre la navigation?" avec le choix de "poursuivre quand même" ou de "fermer cette fenêtre" (il me semble)

Sous réserve de preuve du contraire, ce message n'indique pas qu'*aucun* certificat n'est utilisé, mais que le certificat présenté par le site ne peut pas être vérifié car il n'est pas signé par une authorité de certification de confiance.

Posté(e)

Je reviens donc à ma question, comment revenir à un fonctionnement d'origine, sans ce certificat auto-signé créé par le système synology?

Le fonctionnement d'origine se fait avec un certificat auto-signé généré par Synology, je ne vois donc pas à quel fonctionnement d'origine tu veux revenir.

Posté(e)

Le fonctionnement d'origine se fait avec un certificat auto-signé généré par Synology, je ne vois donc pas à quel fonctionnement d'origine tu veux revenir.

De mémoire, tu peux générer un CSR, sans nécessairement avoir l'auto-signature

Posté(e)

soit tu desactive simplement le HTTPS dans le panneau de config pour revenir a du HTTP

soit tu parametre correctement ton navigateur pour qu'il ajoute une exception permanente (case a cocher) lors de l'acceptation du certif.

de cette manière ton navigateur ne te posera plus la question. en tout cas ca marche avec Firefox , c'est comme ca chez moi

Posté(e)

mais que le certificat présenté par le site ne peut pas être vérifié car il n'est pas signé par une authorité de certification de confiance.

on est d'accord , c'est ce que je dis. :D

Posté(e) (modifié)

Le fonctionnement d'origine se fait avec un certificat auto-signé généré par Synology, je ne vois donc pas à quel fonctionnement d'origine tu veux revenir.

Et bien je veux revenir à un fonctionnement où le navigateur ne me demande plus qu'à poursuivre la navigation. Chose que je peux faire taire en ajoutant le site de mon nas en site confiance dans mon navigateur.

Eh là je ne peux pas faire ca pour le moment puisque le certificat auto-signé (pas comme à l'origine) n'est pas signé par une C A, mon navigateur (chrome et firefox) me pose quand même la question de poursuivre même avec le certificat rentré dedans.

De plus et contrairement à avant je suis obligé de trainer avec moi sur une clè usb le certificat en question pour que je l'ajoute sur le pc avec lequel je desire me connecter... Pas pratique du tout!

:wacko: suis je clair?

soit tu desactive simplement le HTTPS dans le panneau de config pour revenir a du HTTP

soit tu parametre correctement ton navigateur pour qu'il ajoute une exception permanente (case a cocher) lors de l'acceptation du certif.

de cette manière ton navigateur ne te posera plus la question. en tout cas ca marche avec Firefox , c'est comme ca chez moi

Idem avec Safari et IE

C'est ce que je faisais avant mais maintenant.. (voir mon commentaire ci dessus)

Quel bourde d'avoir cliqué sur "création d'un certificat auto-signé" et de l'avoir importé dans le nas.....

Modifié par Osteel
Posté(e)

on est d'accord , c'est ce que je dis. :D

Ben non, tu disais, je te cite:

je me heurtais à un message normal d'erreure de sécurité, puisque, d'origine le serveur n'utilise aucun certificat de sécurité

Ce qui est inexact vue que d'origine le serveur utilise bien un certificat (auto signé).

Posté(e) (modifié)

=>coolRaoul => soit...cela ne fais pas avancer le smilblick mais bon... ok.



Recrée un CSR sans le signer ...

je vais essayer ce soir, merci.

Modifié par Osteel
Posté(e)

Bonsoir

Excusez moi si la question vous semble bête mais, la connexion https du syno avec le certificat auto signe assure quand un chiffrage des données...? Mon mot de passe lors du login est bien chiffré lui aussi?

Merci

Posté(e)

Le certificat n'assure pas de chiffrage de données mais assure simplement l'identité du site :

Voici l'extrait d'un article,

"L’émission d’un certificat numérique par une autorité de certification permet essentiellement de valider

l’identité de l’organisme – ou de la personne – à l’origine de la demande de certificat. Les certificats

SSL sont associés à un nom de domaine Internet. La vérification par l’AC de l’identité du propriétaire du

domaine en question permet aux utilisateurs de savoir dans un premier temps à qui ils ont affaire. Ainsi,

lorsque vous vous connectez sur un site sécurisé par SSL comme Amazon.fr, le certificat identifie le

propriétaire comme étant la société Amazon, Inc. Vous avez ainsi l’assurance d›être sur le véritable site

exploité par Amazon."

Posté(e)

Le certificat n'assure pas de chiffrage de données mais assure simplement l'identité du site :

http://fr.wikipedia.org/wiki/Certificat_électronique#S.C3.A9curit.C3.A9_des_syst.C3.A8mes_d.27information

Sécurité des systèmes d'information

Les certificats électroniques peuvent être utilisés dans différentes applications informatiques dans le cadre de la sécurité des systèmes d'information pour garantir :

  • la non-répudiation et l'intégrité des données avec la signature numérique ou signature électronique (avancée) ;
  • la confidentialité des données grâce au chiffrement des données ;
  • l'authentification ou l'authentification forte d'un individu ou d'une identité non-physique (Web Serveur - SSL, Poste de travail - 802.1x, VPN IPSEC - SSH - SSL, Code Mobile, documents électroniques).

Posté(e)

bonjour,

Bonsoir
Excusez moi si la question vous semble bête mais, la connexion https du syno avec le certificat auto signe assure quand un chiffrage des données...? Mon mot de passe lors du login est bien chiffré lui aussi?
Merci

oui bien sur

Le certificat n'assure pas de chiffrage de données mais assure simplement l'identité du site :

Voici l'extrait d'un article,

"L’émission d’un certificat numérique par une autorité de certification permet essentiellement de valider

l’identité de l’organisme – ou de la personne – à l’origine de la demande de certificat. Les certificats

SSL sont associés à un nom de domaine Internet. La vérification par l’AC de l’identité du propriétaire du

domaine en question permet aux utilisateurs de savoir dans un premier temps à qui ils ont affaire. Ainsi,

lorsque vous vous connectez sur un site sécurisé par SSL comme Amazon.fr, le certificat identifie le

propriétaire comme étant la société Amazon, Inc. Vous avez ainsi l’assurance d›être sur le véritable site

exploité par Amazon."

oui mais pas seulement c'est le but de l'autorité, le certificat quand a lui qu'il soit garantie par une autorité ou non engendre un cryptage entre le client et le serveur, permettant ainsi d’évité l'interception de paquet, et ainsi empêcher un individus malveillant de récupérer vos login, password ou encore code de CB.

l'autorité est la pour une simple reconnaissance visuel, (si au moment de payer sur internet vous arrivé sur une page avec un message attention certificat non reconnu, je ne pense pas que vous allez réalisé votre achat)

Posté(e)

OK..merci, j'avais un doute concernant mes cameras ip et mon nas, tout deux configurés et accessibles en https...

(surtout lorsque j'y accède depuis le boulot). ^_^

Posté(e) (modifié)

Le probleme semble être résolu :

Merci Bud77, j'ai créé une CSR mais j'ai pas su quoi en faire ensuite... alors j'ai recréé un certif auto signé , je l'ai importé dans le syno, redémarré le syno, désinstallé/réinstallé firefox

pour le moment je n'ai pu faire un essai qu'avec un pc (depuis le boulot) et ca marche.

Sujet clos !

Merci à ceux qui ont contribués à faire avancer le problème !

Modifié par Osteel

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.