Aller au contenu

Let's Encrypt sous 4096 bits


Messages recommandés

Bonjour à tous !

La nouvelle version de DSM est sortie et permet de générer un certificat signé par Let's Encrypt facilement et gratuitement : parfait pour grand nombre de personnes qui ne sauraient pas générer CSR, faire valider par un organisme etc...

J'ai donc essayé cette fonction, après avoir configuré mon routeur et le Synology par rapport aux ports 80 et 443, l'installation s'est bien déroulée.

Mais j'ai été surpris de voir que la dimension de la clé n'était "que" de 2048 bits, alors qu'on sait depuis plusieurs mois que cette dimension n'est plus assez élevée pour garantir un bon niveau de protection.

Savez-vous s'il est prévu de pouvoir choisir la taille de la clé lors de la génération du certificat Let's Encrypt ? Ou bien savez-vous s'il est possible de générer un autre certificat Let's Encrypt mais avec une dimension de clé 4096 bits ?

Modifié par Yannick7469
faute d'orthographe
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, gaborin a dit :

Bonjour!
Je n'ai pas de réponse à t'apporter, par contre tu pourras peut-être m'aider...
J'essaie vainement de créer ce certificat et il m'indique toujours "Adresse mail invalide".
J'ai essayé avec des adresses gmail ou hotmail.
Je ne comprends pas pourquoi!

Tu valide un domaine... Donc claque le mail de ton domaine et pas une adresse jetable...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

c'est bien la crainte que j'avais synology a du laissé les paramètres par défaut de let's encrypt et il ne sont pas bon, cf  https://blog.imirhil.fr/2015/12/12/letsencrypt-joie-deception.html

je pense que vous allez avoir de petit surprise dans 90 jours si vous l'utilisé, il faudrait trouver et modifier la configuration de let's encrypt et peux être en informer synology 

Lien vers le commentaire
Partager sur d’autres sites

Pour valider un certificat Let's Encrypt via l'interface Synology, il faut indiquer une adresse email effectivement, personnellement j'ai mis la même adresse mail que celle qui est liée à mon identifiant utilisé pour le NAS.

Pour un certificat SSL classique, il faut au minimum valider une adresse email liée au nom de domaine qu'il faut lier au certificat. Par exemple, pour avoir un certificat SSL pour le nom de domaine mondomaine.fr, il faut au minimum valider une adresse mail en postmaster@mondomaine.fr ou webmaster@mondomaine.fr. Selon le niveau de sécurité du certificat, il faudra également répondre à un coup de téléphone, envoyer des documents sur la société etc...

C'est en principe l'avantage de Let's Encrypt : proposer du HTTPS facilement et rapidement pour rendre globalement le web plus sûr.

Je vais envoyer un message à Synology via l'interface d'aide de mon NAS, je vous tiens au courant de leur réponse :)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Einsteinium a dit :

Tu valide un domaine... Donc claque le mail de ton domaine et pas une adresse jetable...

Oui, j'avais pensé à cette éventualité...

Pourtant, j'ai vu sur le web des gens qui créaient un  certificat pointant vers le ddns "mon_nom.synology.me", ce que j'imaginais faire.
Pour le renouvellement après 90 jours, le site de Synology parle d'un renouvellement automatique:

https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate

Ceci dit, je n'y connais franchement pas grand chose.
Vaut-il mieux lorgner du côté de StartSSL?

Modifié par gaborin
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, gaborin a dit :

Oui, j'avais pensé à cette éventualité...

Pourtant, j'ai vu sur le web des gens qui créaient un  certificat pointant vers le ddns "mon_nom.synology.me", ce que j'imaginais faire.
Pour le renouvellement après 90 jours, le site de Synology parle d'un renouvellement automatique:

https://www.synology.com/en-global/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate

Ceci dit, je n'y connais franchement pas grand chose.
Vaut-il mieux lorgner du côté de StartSSL?

J'ai essayé StartSSL et je dois dire que je suis plutôt satisfait, les certificats de première classe sont gratuits (peut-être pas au delà de la première année, faut voir) et on peut choisir une dimension de clé à 4096 bits.

Il faut néanmoins valider le nom de domaine choisit au minimum par un email comme j'ai expliqué plus haut : webmaster@domaine.fr par exemple.

Lien vers le commentaire
Partager sur d’autres sites

Voici la réponse de l'assistance Synology : 

Citation

Thank you for contacting Synology support.

Unfortunately there is no announced plan to support this feature at the moment. I apologize for your inconvenience. However, I have passed this message to our developers and product management group. They will have more research on such feature. Thank you for bringing this issue to our attention.

If you need to suggest more features, you could also submit the following form to let the PM team know your ideas:

https://www.synology.com/form/inquiry/feedback

Hope this helps.

Espérons qu'on aura droit à une petite mise à jour prochainement :)

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, Yannick7469 a dit :

Voici la réponse de l'assistance Synology : 

Espérons qu'on aura droit à une petite mise à jour prochainement :)

oui mais je t'invite a faire un feedback comme demandé sa accélérera les chose, j'en ferai un moi même se soir, plus il y aura de personne qui en ferons la demande plus sa sera vite implémenté. en attendant il va falloir trouver ou est la conf de let's encrypt pour la modifier.

ce qui nous permettra également de voir le process de maj, qui nous indiquera si le serveur web devra restart tout les 3 mois pour la maj des certificat

Modifié par devildant
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Vinky a dit :

Je vais également faire un retour de mon côté 

pour le renouvellement apriori c'est automatique. Je ne sais pas ce que fait le syno techniquement (redémarrage du serveur web) 

https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate

Si ils ont garder la config par defaut il est configurer en standalone, let's encrypt embarque un serveur web pour le renouvellement donc si le webstation est up a se moment la, confit de port ^^

pour palier a ça il suffit de mettre le param webroot a priori

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.