[TUTO OBSOLÈTE] Certificat TLS/SSL - Let's Encrypt "Wildcard"

[unPixel]

Voilà ce que j'ai dans le mien donc si j'ai bien le wildcard :

root@NDD:~/.acme.sh/ndd.fr# vi ndd.fr.conf
Le_Domain='ndd.fr'
Le_Alt='*.ndd.fr'
Le_Webroot='dns_ovh'
Le_PreHook=''
Le_PostHook=''
Le_RenewHook=''
Le_API='https://acme-v02.api.letsencrypt.org/directory'
Le_Keylength='4096'

Par contre, je viens de me rendre compte d'un petit truc.

Mes liens en https://ndd.fr/quelquechose ne sont pas prit en compte par le certificat...

Modifié le 5 avril 2018 par InfoYANN

[Mic13710]

https:\\ndd.fr\photo ne te renvoie pas vers photo station ?

il y a 3 minutes, InfoYANN a dit :

Le_API='https://acme-v02.api.letsencrypt.org/directory'

On voit bien ici que c'est acme-v02 qui est utilisé parce que tu as pris un wildcard.

La même ligne chez moi est en acme-v01 puisque je n'ai que des ndd en dur.

[unPixel]

https://ndd.tld/photo fonctionne bien lui

Mais par exemple, je viens d'installer Syncthing  et lui n'est pas prit en compte dans le certificat avec l'adresse https://ndd.tld:portdesyncthing

Modifié le 5 avril 2018 par InfoYANN

[Mic13710]

Sauf erreur de ma part, le reverse proxy du Syno n'est pas capable de résoudre une adresse du type ndd/xxxx/

[unPixel]

Syncthing est géré par le reverse proxy car il s'installe comme un paquet normal et non un paquet dans le dossier web comme Wordpress par exemple.

Finalement, c'était un bug de Syncthing et après une réinstallation, il a bien été prit en compte dans son adresse reverse proxy.

Sinon, pour une url type https://domaine.tld/xxx, il faut passer par le virtual host de wbestation mais tu le sais déjà.

[Stixen92]

Merci!

[Jojo (BE)]

Salut @InfoYANN,
1) excuseS pour mes questions qui peuvent vous paraître simplistes, mais dans ce domaine, je suis nul de chez nul.

Alors je souhaites installer sur mon NAS un reverse proxy, pour faciliter les accès à mes différents équipements informatiques sans ouvrir des tonnes de ports sur mon routeur AZUS, et en profiter pour tout passer en ssl.

J'ai donc créé un nom de domaine chez OVH :-)
Plutôt que de me casser la tête à créer pleins de certificats pour chacun de mes sous-domaines (je ne connais pas encore la liste exhaustive), le Wildcard, me plait bien. (je verrai ensuite pour l'automatisation du renouvellement, ça n'a pas l'air simple ...)
Pour le 2° prérequis :
"Avoir déjà configuré une entrée CNAME avec "*.ndd.tld" chez son provider. "
Il faut créer <*.ndd.tld> ou <*.ndd.tld.> (chez OVH), car toutes mes ZonesDNS se terminent par <.> ?

Je bloque sur le 3° prérequis :
"A voir déjà configuré son serveur DNS sur son NAS (ou ailleurs) avec l'entrée "*.ndd.tld"."
Ca veut dire quoi ? Je n'ai jamais juqu'à présent du faire quoi que ce soit. Si je le fais sur mon Syno, ça veut dire que c'est lui qui va servir également de DHCP? Ou dois-je le faire chez OVH (onglet <Serveurs DNS> ??? Sorry, mais vu mon niveau de compétences, il faudra être patient

Merci de ton aide

[Jojo (BE)]

Bon, j'ai suivit le tuto de @Fenrir pour la création d'un DNS serveur sur mon NAS.
Mais, il faut être honnête, j'ai fait les 2 premiers points (Cache DNS local et Zone DNS locale) mais un peu à l'aveugle, sans tout comprendre ce que je faisais... => comment devrais-je faire ton 3° prérequis : "Avoir déjà configuré son serveur DNS sur son NAS  avec l'entrée "*.ndd.tld"."

Merci

Modifié le 1 mai 2018 par Jojo (BE)

[unPixel]

Bonjour,

 

Et bien tu ajoutes simplement une entrée CNAME avec comme nom de domaine : µndd.tld :)

Je te montre avec des captures d'écran :

 

[Brenac]

super, merci. Puis je suggérer dans le tuto d'une part de conseiller que les entree cname txt acme challenge soient les seules entrees TXT du DNS d'une part et que en effet le TTL a 1 est souvent impossible (gandi est a min 300 secondes) 

 

sinon nickel chrome

 

Modifié le 1 mai 2018 par Brenac

[unPixel]

Désoler mais tu peux avoir plusieurs entrées TXT dans ta zone DNS avec les deux acme_challenge.

[Brenac]

Il y a 2 heures, InfoYANN a dit :

Désoler mais tu peux avoir plusieurs entrées TXT dans ta zone DNS avec les deux acme_challenge.

ce n'etait pas le cas avec Gandi bizarrement. Mon certificat SSL n'a ete delivre que quand mes autres entrees TXT de ma zone avait ete enlevees.  

[unPixel]

Mais c'était quoi ? Des autres entrée TXT liées à acme ?

Car moi, j'ai par exemple celles concernant mon serveur mail et tout passe chez OVH. Et si ça passe pas chez Gandi bah change de provider...

[Brenac]

Il y a 2 heures, InfoYANN a dit :

Mais c'était quoi ? Des autres entrée TXT liées à acme ?

Car moi, j'ai par exemple celles concernant mon serveur mail et tout passe chez OVH. Et si ça passe pas chez Gandi bah change de provider...

oui c'est bizarre les autres entrees visible au lieu de acme etait spf et un truc de validation google, les acme n'etant visible et analysee par Ssl4free qu'apres que ces parasites aient disparu. strange

 

Modifié le 2 mai 2018 par Brenac

[unPixel]

Ok. Si c'est réglé alors c'est l'essentiel ;)

[Jojo (BE)]

Le 01/05/2018 à 20:43, InfoYANN a dit :

Bonjour,

 

Et bien tu ajoutes simplement une entrée CNAME avec comme nom de domaine : µndd.tld 🙂

Je te montre avec des captures d'écran :

 

merci @InfoYANN pour ta réponse, je teste de suite.

P.S. sorry pour ma réaction lente, je me disais également que ce n'était pas dans tes habitudes de mettre si longtemps à réagir, mais normalement je reçois des notifs par mail quand on répond sur les sujets auxquels je suis abonné, et tout d'un coup plus. Je ne sais pas ce qui ne va pas, car pour l'autre forum sur lequel (là) je suis vraiment fort actif, je reçois des notifs à tous les coups, et ce forum a le même code source que celui-ci. Je ne comprends pas.

[unPixel]

Ne jamais comparer deux sites/forums tournant sur un même script.

Possibilités de différences de versions, d'ajouts de plugins, d'ajouts d'options/fonctions, serveurs etc...

[Jojo (BE)]

là, pour le coup, j'ai reçu une notif par mail. => mystère.

Est-ce que la config de mon DNS serveur est ok ? => Merci

Modifié le 4 mai 2018 par Jojo (BE)

[unPixel]

Sauf erreur de ma part, ça parait bon oui.

[Jojo (BE)]

merci

[unPixel]

De rien. Oublis pas l'entrée CNAME chez ton provider ainsi que les deux entrées acme_challenge 😉

[Jojo (BE)]

ok, voilà les entrées chez mon provider (OVH)

pour celle-là je me demandais si je devais mettre le . à la fin ?
pour la TXT :

(je crois que c'est bon, car la propagation semble ok, avec le lien de test fourni.

Pour info, je n'ai créé qu'un seul certif (et pas 2 comme toi) car d'après ceci il y aurait un problème de sécurité.
Je connais personnellement l'auteur de ce commentaire, et je sais qu'il raconte rârement des stupidités dans ce domaine.
Que penses-tu de sa proposition ?

[unPixel]

Je ne suis pas complètement d'accord avec ce qu'il dit et je vais cîter @Fenrir pour qu'il vienne voir un peu ce qui se passe ici. Si il veut bien et qu'il trouve un peu de temps, peut-être saura-t-il bien mieux te répondre que moi sur la question.

Pour ma part, je ne constate pas d'informations spéciales sur mon certificat SSL via Firefox (par exemple). Et comme il est Wildcard, ça n'affiche pas non plus les autres domaines.

 

Citation

Pour répondre à Jojo, le fiat de faire signer un certificat Wildcard (valable pour *.mondomaine.com) ne change strictement rien au problème, votre domaine sera toujours visible dans le certificat par défaut présenté par le serveur Web lors d'une requête https.

On notera tout le comique de la situation, le port 80 non sécurisé ne donne aucune information, tandis que le port 443 sécurisé permet de récupérer des informations !!!

Pour reprendre un de ses propos, je ne comprend pas vraiment ce qu'il veut dire par là car si tu as la capacité de voir le certificat SSL, tu es donc forcément sur l'adresse voulue... Donc quel intérêt de dire ça ?!

Je viens par exemple de comparer les données affichées de mon certificat SSL via Firefox avec le site de Microsoft et ce dernier en montre bien plus y compris d'autres domaines quand de mon côté, il n'y a rien.

[Jojo (BE)]

cool, je ne suis donc pas si niais que ça, on s'est posé les même questions :
https://www.domotique-fibaro.fr/topic/11978-accès-sécurisé-hcl-et-hc2-avec-reverse-proxy/?do=findComment&comment=188597
 

Citation

merci @Lazer pour ce didacticiel précis (comme d'hab ) .

Je me pose encore 2 questions :

1. en quoi est-ce un problème de sécurité de voir le nom de domaine (mondomaine.com) : il est connu, et si on y accède, c'est qu'on le connait ? Je comprends bien qu'on veuille cacher les SOUS-domaines, ça me paraît plus "important"
2. et si pour le https on redireige un port alléatoire (4657, part exemple), n'est-ce pas mieux ? comme ça https://1.2.3.4. ou https://mondomaine.com ne retourne rien, car il faut en plus préciser le nom numéro de port (4657) ?

et voici la réponse :
https://www.domotique-fibaro.fr/topic/11978-accès-sécurisé-hcl-et-hc2-avec-reverse-proxy/?do=findComment&comment=188620
 

Citation

@jojo

1/ 99% des scans sont des robots, qui ne connaissent pas ton domaine, mais uniquement ton IP (forcément c'est pas là qu'ils arrivent). Idem pour un petit malin comme moi ou l'un de tes collègues au travail ou sur n'importe quel LAN qui s'amuse à récupérer ton IP publique.

Si il ne connait pas le domaine, il ne va pas plus loin.

Si il connait le domaine, il peut déduire un certain nombre de sous-domaine, et donc rentrer plus facilement.

 

2/ Bof.... changer les ports, c'est une technique de base pour cacher, mais encore une fois, ça ne fonctionne qu'avec les robots qui scannent les ports par défaut. Celui qui te veut du mal, avec un nmap il retrouve tes ports en moins de 2 (c'est le premier truc que j'ai testé tout à l'heure chez Benjy ), donc ça ne ralentie pas le mec plus de 2 Minutes.

Changer les ports est une mauvaise technique, en tout cas elle n'est pas suffisante.

Mais surtout, changer les ports, c'est s'exposer à des dysfonctionnements.

Car la plupart des proxy/firewalls d'entreprise ne laissent passer que les ports 80 et 443, donc tu ne pourras plus accéder chez toi. Si tu voyages, tu verras que c'est pareil à l'échelle entière de certains pays dont la censure est encore plus important qu'en France.

D'ailleurs, c'est la raison pour laquelle j'ai monté r premier reverse proxy sur le port 80 il y a pas mal d'années, c'était justement pour m'y connecter de n'importe où.

PS : pour ceux qui font du OpenVPN, idem, il faut le mettre sur le port 443 afin de passer au travers des proxy/firewalll des entreprises.

et comme @Fenrir avait dit qu'il fallait éviter les certificats auto-signés comme la peste

je ne sais vraiment plus à quel saint de vouer, car je suis sûr que vous êtes tous les 3 des pointures dans le domaine ...

[unPixel]

Détrompes toi, je ne suis pas du tout une pointure. A part, celle de mes chaussures, il n'y en a pas d'autres chez moi 😂

J'ai quelques connaissances et j'apprends aussi très vite (peut-être mal aussi) et je me permettrais par d'aller contre quelqu'un en sachant plus que moi. Bien au contraire, j'aime écouter (lire) et apprendre avec ceux qui s'y connaissent.

 

Fenrir, j'ai confiance en lui et en ses connaissances. Maintenant, je suis curieux d'avoir son avis sur la question.

 

Maintenant, je viens de faire plusieurs tests et je ne vois vraiment pas comment il pourrait obtenir les sous domaines d'un domaine si ils sont pas affichés quelque part. Et je ne parle pas de déduction car dans ce cas, je me rends sur google.com et je suis à peu près certain que par déduction, je vais tomber sur des domaines qui fonctionneront ou me renverront sur un de leurs services.

Allez, au pif, mail.google.com et video.google.com.

Voici les détails affichés sur mon certificat SSL. Autant dire rien de plus qu'une personne ne saurait pas déjà en ayant visité mon domaine... Il ne connaitra ni ne verra pas mes autres domaines mais pourra certainement en deviner puisque c'est de la logique.

Si par exemple la personne a son serveur mail, tu peux supposer que mail.ndd.tld ou webmail.ndd.tld va fonctionner. Ça serait bizarre d'avoir azerty.ndd.tld pour cacher par exemple mail.ndd.tld !