Certificat SSL gratuit (Let's Encrypt)

[seb773]

Bonjour,

 

Depuis hier "Let’s Encrypt" est ouvert en bêta public apparemment cela permet d'avoir un certificat SSL gratuit ce qui peut être intéressant pour nos petits syno.

Quelqu'un aurait-il déjà essayé de le mettre en place sur son nas ?

Si oui serait-il possible de faire un petit tuto, expliquant comment faire svp ?

Merci

[Mic13710]

Sympa d'avoir un autre pourvoyeur de certificat. Il me semble qu'il s'agit d'un certificat class1.

Je crois effectivement qu'un petit tuto s'impose pour pouvoir l'adapter à nos nas.

Pour ma part j'utilise StartSSL Free (class 1) qui est aussi gratuit.

[gaetan.cambier]

l'explication est la pour créer les certificat

https://letsencrypt.org/howitworks/

maintenant, j'ai pas suivis cet histoire :  leur ca est-il reconnu par les navigateur ? ca cela le + important evidemment

[idelectrik]

Oui, reconnu par la majorité des navigateurs.

Un tuto ici : https://forum.synology.com/enu/viewtopic.php?f=3&t=93279&start=15#p405184

(pas encore testé chez moi..)

Modifié le 4 décembre 2015 par idelectrik

[seb773]

Merci pour le lien.

J'essaie de suivre la méthode mais j'ai un problème pour la création du dossier ".well-known"

Apparement il faut créer 2 dossiers dans le répertoire "web"

 - .well-known

 - acme-challenge (à l'intérieur du premier)

Mais comment peut-on créer un dossier commençant par un "." ?

 

J'ai finalement réussi à créer le dossier en utilisant 7-zip

 

Merci

Modifié le 4 décembre 2015 par seb773

[seb773]

Après avoir suivi le tuto j'obtien une erreur:

Error: The client lacks sufficient authorization

J'arrive pourtant bien à afficher http://mondomaine/.well-known/acme-challenge/123_ABC-XYZ

Avez-vous une idée du problème ?

 

[Einsteinium]

Attention point important, les certificats sont valides 90 jours, je suis sur la bêta privée et cela m'a démotivé direct pour ma part ;-)

[gaetan.cambier]

bon ok, deja un an, ca me faisait ch***, 90 jours, j'y pense meme pas

que j'aime bien ma solution qd meme, rien a faire, jamais de problème de certificat

[Mic13710]

Il y a 12 heures , gaetan.cambier a déclaré:

bon ok, deja un an, ca me faisait ch***, 90 jours, j'y pense meme pas

que j'aime bien ma solution qd meme, rien a faire, jamais de problème de certificat

Par curiosité, c'est quoi ta solution ?

[gaetan.cambier]

Certificat autosigne sur le n'as

Reverse proxy toujours avec certificat autosigne

Et cloudflare en frontend

Pour le résultat, tu voit mon site Web ; )

[Mic13710]

Il y a 1 heure , gaetan.cambier a déclaré:

Certificat autosigne sur le n'as

Reverse proxy toujours avec certificat autosigne

Et cloudflare en frontend

Pour le résultat, tu voit mon site Web ; )

OK. Trop balèze pour moi. Je vais continuer à renouveler mon certificat chaque année, ça me prendra globalement moins de temps.

[CoolRaoul]

Il y a 3 heures , gaetan.cambier a déclaré:

Certificat autosigne sur le nas

Reverse proxy toujours avec certificat autosigne

Et cloudflare en frontend

Pour le résultat, tu voit mon site Web ; )

Le navigateur indique:

"Votre connexion à ce site est privée.
L'identité de ce site Web a été validée par COMODO ECC Domain Validation Secure Server CA 2."

C'est comme ça que se présente un certificat auto-signé? Avec le mien j'ai une alerte de sécurité ("l'identité de ce site n'a pas été vérifiée") ce qui me semble plus normal.

Modifié le 5 décembre 2015 par CoolRaoul

[gaetan.cambier]

non, car il y a le frontend cloudflare

en fait qd tu te connecte à mon site cela donne :

        HTTPS              HTTPS                HTTP/localhost
ton pc <-----> cloudflare <-----> Haproxy/syno <--------------> web site 
 (certificat correct) (certificat auto-signé)   (https inutile)

bon, j'ai pas pris cloudflare que pour ca :

avant je payait pour que l'on gere mes dns, et les changement etait lent, maintenant, c'est gratuit et rapide (compter 30 seconde qd je fait un changement pour que ce soit prit en compte et transmit au dns que j'utilise (google dns (c mal, je sais :p))
cloudflare fait office de proxy cache, --> acceleration des requetes
cloudflare a une protection anti-ddos et meme si on a pas toute les options dans la version free, cloudflare, vu sa bande passante de plusieurs Gbps ou Tbps, faudrait vérifier, peux encaisser sans problème. 
et puis, vu qu'il fait office de proxy, les petit malin qui croyent avoir mon ip en se connectant à mon site web ... ben ils en soit loin :p

 

[CoolRaoul]

il y a 42 minutes, gaetan.cambier a déclaré:

non, car il y a le frontend cloudflare

Ah en effet, j'avais pas percuté qu'il s'agissait d'un service externe. Merci pour l'info, je connaissais pas.

il y a 42 minutes, gaetan.cambier a déclaré:

avant je payait pour que l'on gere mes dns, et les changement etait lent, maintenant, c'est gratuit et rapide 

Et si en plus il existe une version gratuite, en effet pourquoi s'en priver.

[gaetan.cambier]

il y a 11 minutes, CoolRaoul a déclaré:

Et si en plus il existe une version gratuite, en effet pourquoi s'en priver.

oui, et niveau dns, aucune limitation, les limitation c'est niveau protection (toute facon, entre pas de protection et protection "de base" et le fait de plus avoir son ip exposé, le choix est vite fait), optimisation des pages web, delai des statistiques, rien de bien grave pour un site perso ;)
ha si, vu le niveau de cryptage ssl de cloudflare, ie6-8 sur xp est mis à la porte :p (une bonne chose en fait)  

[marcien]

Est-ce que le cerfitifat remplace aussi celui utilisé par le DSM ?

Si il y a un motivé pour le tuto, faudrait que les explications inclues aussi les info achat d'un site,  DNS... Parce que le ping-pong entre CoolRaoul et Gaetan m'a un largué ...

[gaetan.cambier]

il y a 53 minutes, marcien a déclaré:

Est-ce que le cerfitifat remplace aussi celui utilisé par le DSM ?

tu parle du sujet initial lets encrypt ?

[seb773]

J'ai finalement réussi à obtenir mon certificat (expire 2016-03-04) donc valide pour 3 mois apparement

 - privkey.pem

 - cert.pem

- chain.pem

 -fullchain.pem (sert à quoi ?)

Mais impossible d'importe les 3 certificats dans le NAS, j'ai le message "certificat illégal"

Je comprends pas pourquoi...

[gaetan.cambier]

ouvre les certificat avec un editeur de texte et donne juste les lignes de chaque 

qui commence par des ----

on saura quel type de certif c'est ;)

 

Modifié le 5 décembre 2015 par gaetan.cambier

[marcien]

@Gaetan : a propos du bazar de ton site, avec des morceaux de proxy, ...

Sinon, je suis intéressé par mettre un "vrai" certificat (autre que celui du Syno), c'est pourquoi j'espere qu'un tuto de A ("achete" un site pour le DNS) à Z !

[gaetan.cambier]

Comme il fait office de proxy, tu ne voit jamais le certif du syno

En fait, les connections http (S) a mon nas provient toujours de cloudflare

[seb773]

Il y a 15 heures , gaetan.cambier a déclaré:

ouvre les certificat avec un editeur de texte et donne juste les lignes de chaque 

qui commence par des ----

on saura quel type de certif c'est ;)

 

En ouvrant mes certificats, j'ai remarqué que les fichiers sont corrompus. J'ai donc recommencé et ça fonctionne maintenant.

Merci

[k750]

Bonjour a tous,
J'ai des problème de connexion a mon serveur en HTTPS

 Voici ce que me dis Firefox
-----------------------------
Cette connexion n'est pas certifiée

Vous avez demandé à Firefox de se connecter de manière sécurisée à nomdedomaine.dtdns.net, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.

Normalement, lorsque vous essayez de vous connecter de manière sécurisée, les sites présentent une identification certifiée pour prouver que vous vous trouvez à la bonne adresse.
Cependant, l'identité de ce site ne peut pas être vérifiée.

Si vous vous connectez habituellement à ce site sans problème, cette erreur peut signifier que quelqu'un essaie d'usurper l'identité de ce site et vous ne devriez pas continuer.

Détails techniques
-------------------
nomdedomaine.dtdns.net utilise un certificat de sécurité invalide.

Le certificat n'est pas sûr car il est auto-signé.
Le certificat n'est valide que pour UBNT Router UI.

(Code d'erreur : sec_error_unknown_issuer)

Le problème est que je ne sais pas quel certificat demander, comment le rempllre
Bref je me suis planté en remplissant cette demande
Mon routeur est un Ubiquiti ERP 5 ports et je ne vois pas se qu'il viens faire dans le certificat
Les liens que vous donné sont en anglais, langue que je pige pas
Avez-vous une idée ?
Par avance merci a vous

 

[Mic13710]

Il y a 1 heure , marcien a déclaré:

@Gaetan : a propos du bazar de ton site, avec des morceaux de proxy, ...

Sinon, je suis intéressé par mettre un "vrai" certificat (autre que celui du Syno), c'est pourquoi j'espere qu'un tuto de A ("achete" un site pour le DNS) à Z !

Pour avoir un vrai certificat perso, il faut un nom de domaine. Ca, il faut le payer (moins de 10€/an chez ovh, pas vraiment la ruine). Quelques paramétrages et quelques heures plus tard chez OVH, le nom de domaine est actif.

Après, y'a le choix entre un certificat class 1 (généralement gratuit), ou un class 2 (généralement payant).

Perso, j'utilise StartSSL.

Pour la mise en oeuvre, je me suis inspiré de ce blog.

Pour le système "Gaëtan", je suis aussi intéressé, mais comme je viens tout juste de renouveler mon certif, ça attendra un peu.

Modifié le 6 décembre 2015 par Mic13710

[gaetan.cambier]

Pour mon systeme aussi, faut etre sur de maitriser le reverse proxy vu qu'il faut passer par les port 80 et 443 en entrée