Certificat ssl non fiable

[thefbi]

Bonjour,

question, j'ai un synology en ligne, hébergé dans un datacenter.

J'utilise cloudstation pour synchroniser mes documents entre mes ordinateurs et mon NAS.

J'ai installé un certificat de Let'encrypt, activé ssl etc.

Parfois, j'ai une erreur de cloudstation côté PC / Mac, qui me dit que le certificat est non fiable. Je suis obligé de rentrer à nouveau le mot de passe et là, il repart normalement.

Je n'ai pas trouvé de réponse par rapport à ce problème dans les forums, apparemment assez courant...

Ce qui m'amène une autre question, est-ce que le fait d'utiliser le ssl avec cloudstation est primordial ou pas ? Peut-on vraiment me piquer mes données si je ne coche pas cette fameuse case ?

Merci de vos lumières :)

Frédéric 

[gaetan.cambier]

Il y a 16 heures, thefbi a dit :

Parfois, j'ai une erreur de cloudstation côté PC / Mac, qui me dit que le certificat est non fiable. Je suis obligé de rentrer à nouveau le mot de passe et là, il repart normalement.

ca ne serait pas à chaque renouvellement de certificat ? un certificat let's encrypt est valable 90 jours 

[thefbi]

Hello,

non, ce n'est pas ça...

[thefbi]

Bonjour, 

un petit up sur cette question... :

Ce qui m'amène une autre question, est-ce que le fait d'utiliser le ssl avec cloudstation est primordial ou pas ? Peut-on vraiment me piquer mes données si je ne coche pas cette fameuse case ?

Merci

[Einsteinium]

Pas de ssl ? Cela veut dire que tes données transitent en claires, A toi de voir la valeur que tu donnes à tes données et leur confidentialité.

[thefbi]

OK, donc effectivement, il vaut mieux utiliser ssl...

J'ai configuré l'adresse de connexion au cloudstation avec le nom de domaine ssl que j'ai créé et non plus avec l'ID Quickconnect. On verra si mes soucis de certificat disparaissent ou pas.

 

 

[smike2809]

Bonjour,

Ce matin j'ai reçu sur tous mes appareils une erreur comme quoi le certificat ssl avait changé... J'ai du refaire la procédure de connexion pour tous les PC et Smartphone qui ont Cloud Station installé ainsi que pour mon 2e NAS qui utilise ShareSync.

Je ne sais pas si le certificat Let's encrypt devait être renouvelé mais l'échéance indiqué actuellement est le 3.11.17....

Ça me parait étrange...

Comment savoir si on n’essaye pas de me piquer mes identifiants ?

Est-ce à votre avis normal ce qui m'est arrivé ?

[gaetan.cambier]

à l’instant, smike2809 a dit :

Je ne sais pas si le certificat Let's encrypt devait être renouvelé mais l'échéance indiqué actuellement est le 3.11.17....

Ça me parait étrange...

comme les certificats lets encript sont renouveler tous les 3 mois ...

[smike2809]

Mais il ne devraient pas être non fiable s'il est renouvelé... non ?

 

[gaetan.cambier]

il n'est pas non fiable, c'est cloudstation qui a détecté un changement de certificat et qui hurle "pour rien"
si tu as un site web sur ton nas, tu verra que ton certificat fonctionne correctement ;)

[smike2809]

Ok très bien. Une dernière question :

Comment vérifier la signature du certificat Let's encrypt avant de l'accepter ? Par exemple l'app DS cloud me demande de confirmer une empreinte ?

 

Pour info :

Je me suis logué sur mon NAS, puis j'ai été dans : Panneau de configuration > Sécurité > Certificat .. et avec un clic droit j'ai sélectionné "Exporter le certificat"

Dans l'archive ensuite téléchargé il y a 3 fichiers : cert.pem, chain.pem et privkey.pem

 

 

[Fenrir]

il y a 3 minutes, smike2809 a dit :

cert.pem

c'est ça ton certificat.

Il suffit de l'ouvrir (si tu es sous windows, renomme le en .crt) pour accéder à l'empreinte dans les propriétés.

[smike2809]

Est-ce bien de la clé publique dont on parle ? Car si c'est cela elles ne correspondent pas...

[Fenrir]

Je ne sais pas ce qu'affiche DSCloud, ce n'est peut être pas l'empreinte, mais ça serait surprenant que ça soit autre chose (mais tout est possible).

Tu compare les bons champs ?

Exemple avec celui de synology :

ou encore avec openssl :

echo | openssl s_client -connect www.synology.com:443 |& openssl x509 -fingerprint -noout
SHA1 Fingerprint=0A:BD:95:31:38:D8:BE:9C:EA:6E:A3:94:BD:D0:2B:07:9F:B3:12:9D

 

[smike2809]

Voilà ce que m'affiche DS cloud et les autres éléments que j'ai relevé depuis mon PC.

 

[Fenrir]

Ça ce n'est pas une empreinte (trop long), mais un certificat ou une signature. En l'état c'est inutilisable.

Envoi moi le vrai nom de domaine (celui que tu mets dans DSCloud) en mp, j'arriverais peut être à tirer quelque chose de ta capture avec openssl

[smike2809]

Pas de problème pour l'envoi de mon nom de domaine via MP. Cependant, ce que je cherche à faire c'est de comparer et de vérifier si le certificat que je dois accepter au début, soit avec dscloud, soit avec cloud station etc... correspond au certificat original de mon nom de domaine...

[Fenrir]

moi aussi :)

[Fenrir]

C'est le bon certificat, enfin celui de ton site web correspond bien à celui de ta capture (il s'agit de la signature du certificat)

81 dc 0a 11 e2 45 5f 86 fe 6b bc 53 e6 44 8c c0 
bc d3 f9 18 7c 97 7a c0 83 dc f5 c6 48 05 57 64 
22 7f fa 0b 04 ec b3 7e 93 99 b8 97 51 33 ed ef 
9a e1 48 9b 5c 8a 7d 56 33 98 a6 8e 36 2e 28 4a 
38 25 77 fd 63 ee 56 a2 15 14 74 2e d4 cd 79 58 
06 a9 15 1f 4f 61 8a c5 9b 08 29 73 f1 f4 05 0d 
1e 03 d2 4a e0 89 d7 3b c9 12 af 92 76 29 0e b2 
8a 73 ce 5a 8b 53 95 6b a0 3c 25 92 80 c3 e4 5f 
d4 ca 6d e7 78 43 eb 49 c0 27 96 ef a6 31 09 6f 
cb 8d fa 91 f0 13 d7 c0 e5 5a 1e 36 fe 0a 42 29 
63 f3 f1 54 ac 8f 04 de d3 b4 dc af 7f 6b df 5e 
b5 14 ae a2 76 84 ce 80 cb fc 8e c4 52 b5 5d 84 
d2 9c 89 0d a4 f8 64 62 f4 ce 67 fa 24 1b e1 1a 
60 1f 9d 11 7b ee 7e da 35 1a 87 1a 91 c1 5c 6c 
6c b0 b0 30 cf 38 ba 01 74 da 44 ae be 1f 74 3b 
33 1c b7 05 09 bb a7 0d 31 7b ea be ac 09 f2 98 

On se demande pourquoi ils n'ont pas utilisé l'empreinte, ça aurait été plus accessible aux utilisateurs

[smike2809]

Comment est-ce que tu es arrivé à ce résultat ?

Dans quel onglet dois-je aller pour obtenir ton résultat ?

Modifié le 13 décembre 2016 par smike2809

[Fenrir]

echo | openssl s_client -connect ton.domaine:443 |& openssl x509 -noout -text

edit : firefox le montre aussi

Modifié le 13 décembre 2016 par Fenrir

[gaetan.cambier]

24 heures pour conclure à un renouvellement de certificat letsencrypt 

[Fenrir]

Non, il voulais savoir comment vérifier qu'il parle bien au bon serveur (sur le principe il a raison)

[Artignac]

En 2018, toujours le même problème avec Let's encrypt et le nouveau Synology Drive (Ex DScloud). Ca serait bien que Syno corrige se problème, car c'est assez pénible de devoir se reconnecter tous les 3 mois sur tous les PCs. D'autant plus qu on ne le voit pas forcément dans la barre des tâches.