Aller au contenu

Https Barr


Messages recommandés

Manoeuvre simple, j'ai activé l'accès https sur le port 5001.

Pourtant quand j'y accède, mon navigateur me demande d'ajouter une exception (ok, c'est fait ;-)), mais, in fine, le https est en rouge et barré comme si, finalement, ce n'était pas "sécurisé".

Ai-je manqué quelque chose ?

Lien vers le commentaire
Partager sur d’autres sites

OK, merci pour l'information.

Autre question, tant qu'on y est.

A quel point faut-il "stresser" pour les ports ouverts vers mon Syno.

J'ai ouvert sur mon routeur:

*- 5000 et 5001 : accès http.

*- 6690 : Cloudstation.

*- 873 : backup vers Syno de mon frère situé chez lui.

*- 9005 / 9006 : WebDav

*- 2000 : Photostation

Dois-je voir ces ouvertures de port comme des portes graaaandes ouvertes sur mon réseau local et "stresser" quand même un peu ou pas ?

Ca semble si naturel d'ouvrir ces ports et pour certains de mes amis, c'est quasiment le grand sacrilège d'oser ouvrir des ports comme si je laissais ma maison porte d'entrée grande ouverte avec un mot de bienvenue aux voleurs ;-)

Merci de m'aider à faire le point.

Lien vers le commentaire
Partager sur d’autres sites

Voilà qui est fait, merci pour les infos. "Tout le monde" gère les accès https ? Y compris tablettes/smartphones ?

J'utilise souvent les applis sous Android pour regarder les Photos de l'extérieur (ce qui épate d'ailleurs pas mal de monde qui ne sait pas bien ce qu'un NAS peut faire) ou même accéder à Download Station.

Lien vers le commentaire
Partager sur d’autres sites

Oui, c'est juste un certificat non signé, mais tes données transitent bien cryptées

Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet .

Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001

Lien vers le commentaire
Partager sur d’autres sites

Autre question : est-ce que ça a du sens de changer les ports par défaut ?

Si je devais essayer de "rentrer" dans le Syno de quelqu'un c'est sur les port par défaut que je "m'exciterais" en premier...

Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière.

Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé).

Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité.

Lien vers le commentaire
Partager sur d’autres sites

Sinon tu utilise la fonctionnalité reverse proxy du syno et tu n'a qu'un port a ouvrir ( peut etre 2 )

Bonne journée

C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ?

Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place...

Modifié par red71
Lien vers le commentaire
Partager sur d’autres sites

C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ?

Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place...

Non non rien voir ...lol

mais tu peut utilisé les 2 ( moi c'est ce que je fait )

lorsque que mon NAS s'allume il envoi un ordre d'ouverture de port ( 443 ) a mon routeur

Des qu'il s'eteint il ferme le port.....

Lien vers le commentaire
Partager sur d’autres sites

Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière.

Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé).

Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité.

Effectivement, pareil pour moi; par contre une petite astuce permet de s'affranchir de ces robots :

- Au niveau du routeur tu rediriges le port 2222 (par exemple) sur le port 22 en interne, du coup, il y a peu de chance pour que les robots viennent scanner ton port 2222 et ensuite, seuls ceux qui on besoin de se connecter chez toi vont utiliser ce fameux port 2222

Depuis que j'ai fait ça, je n'ai plus aucune tentative d'intrusion !

Lien vers le commentaire
Partager sur d’autres sites

Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet .

Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001

CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire.

Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance.

Du coup, pour un usage privé, autant se générer un certificat auto-signé et charger son propre certificat publique racine dans son navigateur et le fournir à sa famille et à ses amis pour qu'ils en fassent de même.

L'intérêt de solliciter un tiers de confiance est que la responsabilité de garantir l'identité du possesseur lui est confiée.

Donc oui, CACert vérifie la propriété du domaine, c'est bien le minimum. Sinon, en quoi pourraient-ils être tiers de confiance ?

Lien vers le commentaire
Partager sur d’autres sites

CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire.

Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance.

Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert:

http://wiki.cacert.org/InclusionStatus

Ce qui fait que je n'avais pas vu le problème

Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation

Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients !

En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients!

Lien vers le commentaire
Partager sur d’autres sites

Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert:

http://wiki.cacert.org/InclusionStatus

Ce qui fait que je n'avais pas vu le problème

Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation

Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients !

En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients!

Je suis d'accord avec toi, ma réponse n'est pas vrai dans tout les cas mais elle l'est pour :

- les os microsoft (Pc et appareils mobiles) / y compris ceux sur lesquels sont installés : Firefox, chrome (sauf erreur de ma part), Opéra (toujours sauf erreur de ma part)... ;

- les appareils sous android ;

- les mac (ce qui est mon cas) et autres appareils de la marques à la pomme.

Cet ensemble doit représenter au minimum 98 % des appareils connectés au web et au moins 90% des propriétaires (et là, je suis même persuadé que c'est plus que ça encore).

Donc, si tu veux, j'ai un peu raison... Moi je considère que mon erreur reste encore de l'ordre de l'exception (et c'est sans jugement de valeur sur linux, loin de là).

En dehors de quelques net-book sur lesquels se trouvent nativement linux, qui installe cet OS en dehors de personnes initiées (je ne compte pas les NAS et autres appareils pour lesquels, là encore, beaucoup d'utilisateur sont indifférent à mon avis de savoir qu'il y a un linux dessus, voir ne le savent même pas).

Mon avis, qui n'engage que moi bien sûr, est qu'un professionnel qui ne veut rassurer ses clients ne choisira pas CA-Cert mais un autre organisme tel que Thawte ou Verisign... de même qu'il prendra un nom de domaine et non pas un dns dynamique.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.