Yannick7469 Posté(e) le 28 mars 2016 Posté(e) le 28 mars 2016 (modifié) Bonjour à tous ! La nouvelle version de DSM est sortie et permet de générer un certificat signé par Let's Encrypt facilement et gratuitement : parfait pour grand nombre de personnes qui ne sauraient pas générer CSR, faire valider par un organisme etc... J'ai donc essayé cette fonction, après avoir configuré mon routeur et le Synology par rapport aux ports 80 et 443, l'installation s'est bien déroulée. Mais j'ai été surpris de voir que la dimension de la clé n'était "que" de 2048 bits, alors qu'on sait depuis plusieurs mois que cette dimension n'est plus assez élevée pour garantir un bon niveau de protection. Savez-vous s'il est prévu de pouvoir choisir la taille de la clé lors de la génération du certificat Let's Encrypt ? Ou bien savez-vous s'il est possible de générer un autre certificat Let's Encrypt mais avec une dimension de clé 4096 bits ? Modifié le 29 mars 2016 par Yannick7469 faute d'orthographe 0 Citer
gaborin Posté(e) le 29 mars 2016 Posté(e) le 29 mars 2016 Bonjour! Je n'ai pas de réponse à t'apporter, par contre tu pourras peut-être m'aider... J'essaie vainement de créer ce certificat et il m'indique toujours "Adresse mail invalide". J'ai essayé avec des adresses gmail ou hotmail. Je ne comprends pas pourquoi! 0 Citer
Einsteinium Posté(e) le 29 mars 2016 Posté(e) le 29 mars 2016 Il y a 4 heures, gaborin a dit : Bonjour! Je n'ai pas de réponse à t'apporter, par contre tu pourras peut-être m'aider... J'essaie vainement de créer ce certificat et il m'indique toujours "Adresse mail invalide". J'ai essayé avec des adresses gmail ou hotmail. Je ne comprends pas pourquoi! Tu valide un domaine... Donc claque le mail de ton domaine et pas une adresse jetable... 0 Citer
devildant Posté(e) le 29 mars 2016 Posté(e) le 29 mars 2016 Bonjour, c'est bien la crainte que j'avais synology a du laissé les paramètres par défaut de let's encrypt et il ne sont pas bon, cf https://blog.imirhil.fr/2015/12/12/letsencrypt-joie-deception.html je pense que vous allez avoir de petit surprise dans 90 jours si vous l'utilisé, il faudrait trouver et modifier la configuration de let's encrypt et peux être en informer synology 0 Citer
Vinky Posté(e) le 29 mars 2016 Posté(e) le 29 mars 2016 Merci pour ses infos. Effectivement, si ce n'est qu'une configuration à modifier. Il faut faire remonter l'info pour qu'au moins le choix nous soit proposé à l'installation. 0 Citer
Yannick7469 Posté(e) le 29 mars 2016 Auteur Posté(e) le 29 mars 2016 Pour valider un certificat Let's Encrypt via l'interface Synology, il faut indiquer une adresse email effectivement, personnellement j'ai mis la même adresse mail que celle qui est liée à mon identifiant utilisé pour le NAS. Pour un certificat SSL classique, il faut au minimum valider une adresse email liée au nom de domaine qu'il faut lier au certificat. Par exemple, pour avoir un certificat SSL pour le nom de domaine mondomaine.fr, il faut au minimum valider une adresse mail en postmaster@mondomaine.fr ou webmaster@mondomaine.fr. Selon le niveau de sécurité du certificat, il faudra également répondre à un coup de téléphone, envoyer des documents sur la société etc... C'est en principe l'avantage de Let's Encrypt : proposer du HTTPS facilement et rapidement pour rendre globalement le web plus sûr. Je vais envoyer un message à Synology via l'interface d'aide de mon NAS, je vous tiens au courant de leur réponse :) 0 Citer
gaborin Posté(e) le 29 mars 2016 Posté(e) le 29 mars 2016 (modifié) Il y a 4 heures, Einsteinium a dit : Tu valide un domaine... Donc claque le mail de ton domaine et pas une adresse jetable... Oui, j'avais pensé à cette éventualité... Pourtant, j'ai vu sur le web des gens qui créaient un certificat pointant vers le ddns "mon_nom.synology.me", ce que j'imaginais faire. Pour le renouvellement après 90 jours, le site de Synology parle d'un renouvellement automatique: https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate Ceci dit, je n'y connais franchement pas grand chose. Vaut-il mieux lorgner du côté de StartSSL? Modifié le 29 mars 2016 par gaborin 0 Citer
Yannick7469 Posté(e) le 29 mars 2016 Auteur Posté(e) le 29 mars 2016 Il y a 4 heures, gaborin a dit : Oui, j'avais pensé à cette éventualité... Pourtant, j'ai vu sur le web des gens qui créaient un certificat pointant vers le ddns "mon_nom.synology.me", ce que j'imaginais faire. Pour le renouvellement après 90 jours, le site de Synology parle d'un renouvellement automatique: https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate Ceci dit, je n'y connais franchement pas grand chose. Vaut-il mieux lorgner du côté de StartSSL? J'ai essayé StartSSL et je dois dire que je suis plutôt satisfait, les certificats de première classe sont gratuits (peut-être pas au delà de la première année, faut voir) et on peut choisir une dimension de clé à 4096 bits. Il faut néanmoins valider le nom de domaine choisit au minimum par un email comme j'ai expliqué plus haut : webmaster@domaine.fr par exemple. 0 Citer
Yannick7469 Posté(e) le 1 avril 2016 Auteur Posté(e) le 1 avril 2016 Voici la réponse de l'assistance Synology : Citation Thank you for contacting Synology support. Unfortunately there is no announced plan to support this feature at the moment. I apologize for your inconvenience. However, I have passed this message to our developers and product management group. They will have more research on such feature. Thank you for bringing this issue to our attention. If you need to suggest more features, you could also submit the following form to let the PM team know your ideas: https://www.synology.com/form/inquiry/feedback Hope this helps. Espérons qu'on aura droit à une petite mise à jour prochainement :) 0 Citer
devildant Posté(e) le 1 avril 2016 Posté(e) le 1 avril 2016 (modifié) il y a 12 minutes, Yannick7469 a dit : Voici la réponse de l'assistance Synology : Espérons qu'on aura droit à une petite mise à jour prochainement :) oui mais je t'invite a faire un feedback comme demandé sa accélérera les chose, j'en ferai un moi même se soir, plus il y aura de personne qui en ferons la demande plus sa sera vite implémenté. en attendant il va falloir trouver ou est la conf de let's encrypt pour la modifier. ce qui nous permettra également de voir le process de maj, qui nous indiquera si le serveur web devra restart tout les 3 mois pour la maj des certificat Modifié le 1 avril 2016 par devildant 0 Citer
Vinky Posté(e) le 1 avril 2016 Posté(e) le 1 avril 2016 (modifié) Je vais également faire un retour de mon côté pour le renouvellement apriori c'est automatique. Je ne sais pas ce que fait le syno techniquement (redémarrage du serveur web) https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate Modifié le 1 avril 2016 par Vinky 0 Citer
devildant Posté(e) le 1 avril 2016 Posté(e) le 1 avril 2016 Il y a 2 heures, Vinky a dit : Je vais également faire un retour de mon côté pour le renouvellement apriori c'est automatique. Je ne sais pas ce que fait le syno techniquement (redémarrage du serveur web) https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate Si ils ont garder la config par defaut il est configurer en standalone, let's encrypt embarque un serveur web pour le renouvellement donc si le webstation est up a se moment la, confit de port ^^ pour palier a ça il suffit de mettre le param webroot a priori 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.