Fenrir Posté(e) le 20 mars 2017 Posté(e) le 20 mars 2017 Si tu souhaites conserver un wildcard, tu n'as que 2 possibilités : passer à la caisse utiliser ta propre autorité (donc à installer dans tous tes clients) Sinon avec letsencrypt, tu peux créer plusieurs certificats, c'est ce qu'a fait @Mic13710 par exemple. À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public 0 Citer
pitch78 Posté(e) le 20 mars 2017 Posté(e) le 20 mars 2017 (modifié) et il se passe quoi si j'utilise pas propre autorité (d'ailleurs est-ce un certificat auto-signé ou autre chose ?), sans l'installer sur tous les clients ? 1) c'est crypté, mais pas authentifié (pas d'adresse en vert) ? 2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services 3) c'est dangereux dans le sens ou ça peut être usurpé ? car sans wildcard, l'interet du reverse proxy que je faisais par sous-domaines est plus que discutable dans mon cas. sinon des redirection par ports feraient le boulot ou par url genre https://mondomaine.fr/service au lieu de https://service.mondomaine.fr moi ce qui m’intéresse c'est que le traffic, notamment mot de passe,... ne passe pas en clair... c'est la lose, là toute mon organisation tombe à l'eau Modifié le 20 mars 2017 par Mic13710 inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension 0 Citer
Fenrir Posté(e) le 20 mars 2017 Posté(e) le 20 mars 2017 il y a 35 minutes, pitch78 a dit : 1) c'est crypté chiffré, mais pas authentifié (pas d'adresse en vert) ? la connexion sera chiffrée et authentifiée, par contre si l'autorité n'est pas dans ton navigateur, tu auras un avertissement (pas en vert) =>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs nb : le fait que la barre d'adresse soit en vert n'est pas un gage de confiance absolu que tu es sur le bon site, c'est juste un indicateur raisonnablement fiable il y a 37 minutes, pitch78 a dit : 2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services ça non, ton navigateur te bloque l'accès parce que le certificat est invalide (car blacklisté), avec un certificat valide mais non reconnu tu as juste un avertissement (ce qui n'est pas bien non plus) =>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs il y a 39 minutes, pitch78 a dit : 3) c'est dangereux dans le sens ou ça peut être usurpé ? ni plus ni moins qu'avec un autre certificat "valide" (digicert&co), la seule différence c'est que dans un cas tu te fais confiance et dans l'autre tu fais confiance à un organisme tiers (cf les soucis de google avec comodo ou plus récemment la fraude de starcom qui t'a emmené ici) =>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs ============== Il y a 1 heure, Fenrir a dit : À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public Dit autrement : pour les sites qui doivent être accédés par diverses personnes, j'utilise des certificats reconnu par défaut (signés par une autorité reconnu en standard) pour le reste (tout ce qui n'est accédé que par moi ou des équipements que je maitrise), j'utilise un certificat signé par mon autorité nb : un certificat d'autorité racine est TOUJOURS autosigné mais ce n'est pas un certificat "autosigné" dans le sens qu'on trouve un peu partout sur le net Par exemple l'autorité AddTrust est : valide pour CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=AddTrust AB,C=SE signé par : CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=,AddTrust AB,C=SE Par contre les certificats que tu utilises sont très rarement signés par une autorité racine, généralement il y a un ou plusieurs intermédiaire, qui eux sont signés par la racine. https://www.qwant.com/?q=certificate hierarchy&t=images Pour aller plus loin il faudrait faire un cours sur les PKI, donc je vais m'abstenir 0 Citer
Mic13710 Posté(e) le 20 mars 2017 Posté(e) le 20 mars 2017 Comme @Fenrir m'a cité un peu plus haut, il parlait je pense de ce petit tuto que j'ai mis dans son tuto sur le serveur DNS dans lequel je parle du reverse proxy et des certificats Let's Encrypt. Si ça peut aider . 0 Citer
pitch78 Posté(e) le 20 mars 2017 Posté(e) le 20 mars 2017 un grand merci à vous deux, j'y vois plus clair et surtout j'aperçois une solution à mon problème avec startssl tout en conservant mon organisation. y'a plus qu'a s'y mettre ! Bonne soirée et encore merci. 0 Citer
alca2k2 Posté(e) le 6 avril 2017 Posté(e) le 6 avril 2017 Bonjour, Le pb que j'ai eu precedement : non redemarage du service suite a passage en DSM6 était causer par le fait que toutes les lignes du fichier dans rc.d etaient en "commenté". Je pensais que c'etait de mon fait, hors je me retrouve avec le meme pb a chaque mise a jour. Avez vous les memes effets, sinon d'ou cela peut-il venir 0 Citer
CoolRaoul Posté(e) le 6 avril 2017 Auteur Posté(e) le 6 avril 2017 il y a 1 minute, alca2k2 a dit : toutes les lignes du fichier dans rc.d etaient en "commenté". Je pensais que c'etait de mon fait, hors je me retrouve avec le meme pb a chaque mise a jour. Avez vous les memes effets, Pas constaté chez moi, mais faut dire que mon script de démarrage dans "/etc/local/etc/rc.d" est en réalité un lien symbolique vers un fichier situé ailleurs. C'est peut-être grâce à ça que j'ai été épargné. 0 Citer
pitch78 Posté(e) le 27 avril 2017 Posté(e) le 27 avril 2017 (modifié) Bonjour, petit retour concernant mes questions précédentes. Merci, car j'ai découvert grâce à vous les certificats multi domaines avec le champ SAN. Je pensais avant que seul l'utilisation de certificats wildcard pouvait gérer plus de 1 domaine. j'ai pu grâce à celà utiliser un certificat let's encrypt pour une vingtaine de domaine. un préfixe de domaine = un service pour chez moi, d'ou le nombre, car je me développe plein de petits services tout con mais très pratiques. Petite information, vu le nombre de domaines que j'avais, je pouvais soit utiliser le client en ligne de commande, mais j'ai pas trouvé dans celui intégré à DSM comment bien gérer le champ SAN, soit utiliser l'IHM de DSM qui présentait l'avantage de gérer seul le renouvellement du certificat, sauf que ma liste était trop longue je me pensais foutu, et puis j'ai tenté... et ça à marché ! il suffit en effet de supprimer l'attribut maxlength du champ html INPUT de "Autres nom de l'objet" qui est par defaut à 256 caractères max et ça passe pour ceux qui ne savent pas faire, utilisez l'inspecteur de votre navigateur, selectionnez le champ html et editez ou supprimez l'attribut maxlength si ça peux aider... Modifié le 27 avril 2017 par pitch78 0 Citer
Fenrir Posté(e) le 27 avril 2017 Posté(e) le 27 avril 2017 Tu peux aussi faire ta demande en plusieurs fois (tu peux avoir plusieurs certificats). 0 Citer
Mic13710 Posté(e) le 27 avril 2017 Posté(e) le 27 avril 2017 il y a 4 minutes, Fenrir a dit : tu peux avoir plusieurs certificats ce qui offre aussi l'avantage d'en créer par type d'utilisation. Perso j'en ai 4 : 1 pour le ns, le www, le mail. C'est celui par défaut. 1 pour les applications : multimedia, download, file station etc... 1 pour Domoticz sur le NAS et les Rasp 1 pour CardDAV et CalDAV, que je vais probablement jumeler avec le principal 0 Citer
pitch78 Posté(e) le 2 mai 2017 Posté(e) le 2 mai 2017 (modifié) Le 27/04/2017 à 15:43, Fenrir a dit : Tu peux aussi faire ta demande en plusieurs fois (tu peux avoir plusieurs certificats). oui, mais ça m’embêtais un peu, surtout vis à vis du renouvellement. avoir un seul certificat voulais dire un seul renouvellement et donc ouvrir une seule fois le port 80 (d'ailleurs, peut-on scripter "proprement" cette ouverture ? je pense sinon analyser les logs de lets encrypt pour détecter une demande de renouvellement...). Par rapport au reverse proxy, encore un problème : à l'extérieur de chez moi, DSM met plus de 10 secondes à s'afficher. Pas chez moi, alors que j'utilise la même URL. ET pas non plus à l'extérieur si je n'utilise pas la config reverse proxy, juste du port forwarding. Après quelques recherches, j'ai isolé le problème : un accès à entry.cgi (je sais il y en a à foison) avec les arguments api=SYNO.Core.Desktop.Initdata&method=get&version=1 hors le json retourné fait quasiment 1Mo (d'ou les 10s avec une connexion ADSL à 100ko/s en up). pour le reste du chargement de la page c'est peut-être pareil, mais comme c'est plus petit, c'est moins quantifiable. c'est comme si, avec le reverse proxy j’empêchais d'utiliser le cache ? Avez vous déjà été confronté à ça ? D'avance merci Modifié le 2 mai 2017 par pitch78 0 Citer
Fenrir Posté(e) le 2 mai 2017 Posté(e) le 2 mai 2017 Je n'accède à DSM qu'au travers du VPN si je ne suis pas chez moi, donc je ne sais pas te répondre. 0 Citer
pitch78 Posté(e) le 5 mai 2017 Posté(e) le 5 mai 2017 (modifié) Bon trouvé... J'ai pas mal joué avec la config nginx et notamment pour augmenter la sécurité (dhparam,...) toujours est-il que dans le fichier proxy_default.conf, le paramètre Citation proxy_http_version 1.1; était commenté, suite à une modification ou par erreur je ne saurais pas le dire, toujours est-il que avec le paramètre actif entry.cgi avec les arguments api=SYNO.Core.Desktop.Initdata&method=get&version=1 semble lu depuis un cache local et la page complète pèse environ 300ko, sans, entry.cgi avec ces mêmes paramètres est entièrement retéléchargé chaque fois et le site pèse environ 1,3Mo, d'ou un temps de chargement à +10 secondes. Attention donc... en espérant que ça en aide d'autre, Bonne journée ! Modifié le 5 mai 2017 par pitch78 0 Citer
Fenrir Posté(e) le 5 mai 2017 Posté(e) le 5 mai 2017 Le fait de passer en HTTP 1.1 permet la réutilisation des sessions, ce qui peut drastiquement améliorer les perfs, la compression est également améliorée (+ quelques autre améliorations). 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.