unPixel Posté(e) le 5 avril 2018 Auteur Posté(e) le 5 avril 2018 (modifié) Voilà ce que j'ai dans le mien donc si j'ai bien le wildcard : root@NDD:~/.acme.sh/ndd.fr# vi ndd.fr.conf Le_Domain='ndd.fr' Le_Alt='*.ndd.fr' Le_Webroot='dns_ovh' Le_PreHook='' Le_PostHook='' Le_RenewHook='' Le_API='https://acme-v02.api.letsencrypt.org/directory' Le_Keylength='4096' Par contre, je viens de me rendre compte d'un petit truc. Mes liens en https://ndd.fr/quelquechose ne sont pas prit en compte par le certificat... Modifié le 5 avril 2018 par InfoYANN 0 Citer
Mic13710 Posté(e) le 5 avril 2018 Posté(e) le 5 avril 2018 https:\\ndd.fr\photo ne te renvoie pas vers photo station ? il y a 3 minutes, InfoYANN a dit : Le_API='https://acme-v02.api.letsencrypt.org/directory' On voit bien ici que c'est acme-v02 qui est utilisé parce que tu as pris un wildcard. La même ligne chez moi est en acme-v01 puisque je n'ai que des ndd en dur. 0 Citer
unPixel Posté(e) le 5 avril 2018 Auteur Posté(e) le 5 avril 2018 (modifié) https://ndd.tld/photo fonctionne bien lui Mais par exemple, je viens d'installer Syncthing et lui n'est pas prit en compte dans le certificat avec l'adresse https://ndd.tld:portdesyncthing Modifié le 5 avril 2018 par InfoYANN 0 Citer
Mic13710 Posté(e) le 6 avril 2018 Posté(e) le 6 avril 2018 Sauf erreur de ma part, le reverse proxy du Syno n'est pas capable de résoudre une adresse du type ndd/xxxx/ 0 Citer
unPixel Posté(e) le 6 avril 2018 Auteur Posté(e) le 6 avril 2018 Syncthing est géré par le reverse proxy car il s'installe comme un paquet normal et non un paquet dans le dossier web comme Wordpress par exemple. Finalement, c'était un bug de Syncthing et après une réinstallation, il a bien été prit en compte dans son adresse reverse proxy. Sinon, pour une url type https://domaine.tld/xxx, il faut passer par le virtual host de wbestation mais tu le sais déjà. 0 Citer
Jojo (BE) Posté(e) le 1 mai 2018 Posté(e) le 1 mai 2018 Salut @InfoYANN, 1) excuseS pour mes questions qui peuvent vous paraître simplistes, mais dans ce domaine, je suis nul de chez nul. Alors je souhaites installer sur mon NAS un reverse proxy, pour faciliter les accès à mes différents équipements informatiques sans ouvrir des tonnes de ports sur mon routeur AZUS, et en profiter pour tout passer en ssl. J'ai donc créé un nom de domaine chez OVH :-) Plutôt que de me casser la tête à créer pleins de certificats pour chacun de mes sous-domaines (je ne connais pas encore la liste exhaustive), le Wildcard, me plait bien. (je verrai ensuite pour l'automatisation du renouvellement, ça n'a pas l'air simple ...) Pour le 2° prérequis : "Avoir déjà configuré une entrée CNAME avec "*.ndd.tld" chez son provider. " Il faut créer <*.ndd.tld> ou <*.ndd.tld.> (chez OVH), car toutes mes ZonesDNS se terminent par <.> ? Je bloque sur le 3° prérequis : "A voir déjà configuré son serveur DNS sur son NAS (ou ailleurs) avec l'entrée "*.ndd.tld"." Ca veut dire quoi ? Je n'ai jamais juqu'à présent du faire quoi que ce soit. Si je le fais sur mon Syno, ça veut dire que c'est lui qui va servir également de DHCP? Ou dois-je le faire chez OVH (onglet <Serveurs DNS> ??? Sorry, mais vu mon niveau de compétences, il faudra être patient Merci de ton aide 0 Citer
Jojo (BE) Posté(e) le 1 mai 2018 Posté(e) le 1 mai 2018 (modifié) Bon, j'ai suivit le tuto de @Fenrir pour la création d'un DNS serveur sur mon NAS. Mais, il faut être honnête, j'ai fait les 2 premiers points (Cache DNS local et Zone DNS locale) mais un peu à l'aveugle, sans tout comprendre ce que je faisais... => comment devrais-je faire ton 3° prérequis : "Avoir déjà configuré son serveur DNS sur son NAS avec l'entrée "*.ndd.tld"." Merci Modifié le 1 mai 2018 par Jojo (BE) 0 Citer
unPixel Posté(e) le 1 mai 2018 Auteur Posté(e) le 1 mai 2018 Bonjour, Et bien tu ajoutes simplement une entrée CNAME avec comme nom de domaine : µndd.tld :) Je te montre avec des captures d'écran : 1 Citer
Brenac Posté(e) le 1 mai 2018 Posté(e) le 1 mai 2018 (modifié) super, merci. Puis je suggérer dans le tuto d'une part de conseiller que les entree cname txt acme challenge soient les seules entrees TXT du DNS d'une part et que en effet le TTL a 1 est souvent impossible (gandi est a min 300 secondes) sinon nickel chrome Modifié le 1 mai 2018 par Brenac 0 Citer
unPixel Posté(e) le 2 mai 2018 Auteur Posté(e) le 2 mai 2018 Désoler mais tu peux avoir plusieurs entrées TXT dans ta zone DNS avec les deux acme_challenge. 0 Citer
Brenac Posté(e) le 2 mai 2018 Posté(e) le 2 mai 2018 Il y a 2 heures, InfoYANN a dit : Désoler mais tu peux avoir plusieurs entrées TXT dans ta zone DNS avec les deux acme_challenge. ce n'etait pas le cas avec Gandi bizarrement. Mon certificat SSL n'a ete delivre que quand mes autres entrees TXT de ma zone avait ete enlevees. 0 Citer
unPixel Posté(e) le 2 mai 2018 Auteur Posté(e) le 2 mai 2018 Mais c'était quoi ? Des autres entrée TXT liées à acme ? Car moi, j'ai par exemple celles concernant mon serveur mail et tout passe chez OVH. Et si ça passe pas chez Gandi bah change de provider... 0 Citer
Brenac Posté(e) le 2 mai 2018 Posté(e) le 2 mai 2018 (modifié) Il y a 2 heures, InfoYANN a dit : Mais c'était quoi ? Des autres entrée TXT liées à acme ? Car moi, j'ai par exemple celles concernant mon serveur mail et tout passe chez OVH. Et si ça passe pas chez Gandi bah change de provider... oui c'est bizarre les autres entrees visible au lieu de acme etait spf et un truc de validation google, les acme n'etant visible et analysee par Ssl4free qu'apres que ces parasites aient disparu. strange Modifié le 2 mai 2018 par Brenac 0 Citer
unPixel Posté(e) le 2 mai 2018 Auteur Posté(e) le 2 mai 2018 Ok. Si c'est réglé alors c'est l'essentiel ;) 0 Citer
Jojo (BE) Posté(e) le 4 mai 2018 Posté(e) le 4 mai 2018 Le 01/05/2018 à 20:43, InfoYANN a dit : Bonjour, Et bien tu ajoutes simplement une entrée CNAME avec comme nom de domaine : µndd.tld 🙂 Je te montre avec des captures d'écran : merci @InfoYANN pour ta réponse, je teste de suite. P.S. sorry pour ma réaction lente, je me disais également que ce n'était pas dans tes habitudes de mettre si longtemps à réagir, mais normalement je reçois des notifs par mail quand on répond sur les sujets auxquels je suis abonné, et tout d'un coup plus. Je ne sais pas ce qui ne va pas, car pour l'autre forum sur lequel (là) je suis vraiment fort actif, je reçois des notifs à tous les coups, et ce forum a le même code source que celui-ci. Je ne comprends pas. 0 Citer
unPixel Posté(e) le 4 mai 2018 Auteur Posté(e) le 4 mai 2018 Ne jamais comparer deux sites/forums tournant sur un même script. Possibilités de différences de versions, d'ajouts de plugins, d'ajouts d'options/fonctions, serveurs etc... 0 Citer
Jojo (BE) Posté(e) le 4 mai 2018 Posté(e) le 4 mai 2018 (modifié) là, pour le coup, j'ai reçu une notif par mail. => mystère. Est-ce que la config de mon DNS serveur est ok ? => Merci Modifié le 4 mai 2018 par Jojo (BE) 0 Citer
unPixel Posté(e) le 4 mai 2018 Auteur Posté(e) le 4 mai 2018 Sauf erreur de ma part, ça parait bon oui. 1 Citer
unPixel Posté(e) le 4 mai 2018 Auteur Posté(e) le 4 mai 2018 De rien. Oublis pas l'entrée CNAME chez ton provider ainsi que les deux entrées acme_challenge 😉 0 Citer
Jojo (BE) Posté(e) le 4 mai 2018 Posté(e) le 4 mai 2018 ok, voilà les entrées chez mon provider (OVH) pour celle-là je me demandais si je devais mettre le . à la fin ? pour la TXT : (je crois que c'est bon, car la propagation semble ok, avec le lien de test fourni. Pour info, je n'ai créé qu'un seul certif (et pas 2 comme toi) car d'après ceci il y aurait un problème de sécurité. Je connais personnellement l'auteur de ce commentaire, et je sais qu'il raconte rârement des stupidités dans ce domaine. Que penses-tu de sa proposition ? 0 Citer
unPixel Posté(e) le 4 mai 2018 Auteur Posté(e) le 4 mai 2018 Je ne suis pas complètement d'accord avec ce qu'il dit et je vais cîter @Fenrir pour qu'il vienne voir un peu ce qui se passe ici. Si il veut bien et qu'il trouve un peu de temps, peut-être saura-t-il bien mieux te répondre que moi sur la question. Pour ma part, je ne constate pas d'informations spéciales sur mon certificat SSL via Firefox (par exemple). Et comme il est Wildcard, ça n'affiche pas non plus les autres domaines. Citation Pour répondre à Jojo, le fiat de faire signer un certificat Wildcard (valable pour *.mondomaine.com) ne change strictement rien au problème, votre domaine sera toujours visible dans le certificat par défaut présenté par le serveur Web lors d'une requête https. On notera tout le comique de la situation, le port 80 non sécurisé ne donne aucune information, tandis que le port 443 sécurisé permet de récupérer des informations !!! Pour reprendre un de ses propos, je ne comprend pas vraiment ce qu'il veut dire par là car si tu as la capacité de voir le certificat SSL, tu es donc forcément sur l'adresse voulue... Donc quel intérêt de dire ça ?! Je viens par exemple de comparer les données affichées de mon certificat SSL via Firefox avec le site de Microsoft et ce dernier en montre bien plus y compris d'autres domaines quand de mon côté, il n'y a rien. 0 Citer
Jojo (BE) Posté(e) le 4 mai 2018 Posté(e) le 4 mai 2018 cool, je ne suis donc pas si niais que ça, on s'est posé les même questions : https://www.domotique-fibaro.fr/topic/11978-accès-sécurisé-hcl-et-hc2-avec-reverse-proxy/?do=findComment&comment=188597 Citation merci @Lazer pour ce didacticiel précis (comme d'hab ) . Je me pose encore 2 questions : en quoi est-ce un problème de sécurité de voir le nom de domaine (mondomaine.com) : il est connu, et si on y accède, c'est qu'on le connait ? Je comprends bien qu'on veuille cacher les SOUS-domaines, ça me paraît plus "important" et si pour le https on redireige un port alléatoire (4657, part exemple), n'est-ce pas mieux ? comme ça https://1.2.3.4. ou https://mondomaine.com ne retourne rien, car il faut en plus préciser le nom numéro de port (4657) ? et voici la réponse : https://www.domotique-fibaro.fr/topic/11978-accès-sécurisé-hcl-et-hc2-avec-reverse-proxy/?do=findComment&comment=188620 Citation @jojo 1/ 99% des scans sont des robots, qui ne connaissent pas ton domaine, mais uniquement ton IP (forcément c'est pas là qu'ils arrivent). Idem pour un petit malin comme moi ou l'un de tes collègues au travail ou sur n'importe quel LAN qui s'amuse à récupérer ton IP publique. Si il ne connait pas le domaine, il ne va pas plus loin. Si il connait le domaine, il peut déduire un certain nombre de sous-domaine, et donc rentrer plus facilement. 2/ Bof.... changer les ports, c'est une technique de base pour cacher, mais encore une fois, ça ne fonctionne qu'avec les robots qui scannent les ports par défaut. Celui qui te veut du mal, avec un nmap il retrouve tes ports en moins de 2 (c'est le premier truc que j'ai testé tout à l'heure chez Benjy ), donc ça ne ralentie pas le mec plus de 2 Minutes. Changer les ports est une mauvaise technique, en tout cas elle n'est pas suffisante. Mais surtout, changer les ports, c'est s'exposer à des dysfonctionnements. Car la plupart des proxy/firewalls d'entreprise ne laissent passer que les ports 80 et 443, donc tu ne pourras plus accéder chez toi. Si tu voyages, tu verras que c'est pareil à l'échelle entière de certains pays dont la censure est encore plus important qu'en France. D'ailleurs, c'est la raison pour laquelle j'ai monté r premier reverse proxy sur le port 80 il y a pas mal d'années, c'était justement pour m'y connecter de n'importe où. PS : pour ceux qui font du OpenVPN, idem, il faut le mettre sur le port 443 afin de passer au travers des proxy/firewalll des entreprises. et comme @Fenrir avait dit qu'il fallait éviter les certificats auto-signés comme la peste je ne sais vraiment plus à quel saint de vouer, car je suis sûr que vous êtes tous les 3 des pointures dans le domaine ... 0 Citer
unPixel Posté(e) le 4 mai 2018 Auteur Posté(e) le 4 mai 2018 Détrompes toi, je ne suis pas du tout une pointure. A part, celle de mes chaussures, il n'y en a pas d'autres chez moi 😂 J'ai quelques connaissances et j'apprends aussi très vite (peut-être mal aussi) et je me permettrais par d'aller contre quelqu'un en sachant plus que moi. Bien au contraire, j'aime écouter (lire) et apprendre avec ceux qui s'y connaissent. Fenrir, j'ai confiance en lui et en ses connaissances. Maintenant, je suis curieux d'avoir son avis sur la question. Maintenant, je viens de faire plusieurs tests et je ne vois vraiment pas comment il pourrait obtenir les sous domaines d'un domaine si ils sont pas affichés quelque part. Et je ne parle pas de déduction car dans ce cas, je me rends sur google.com et je suis à peu près certain que par déduction, je vais tomber sur des domaines qui fonctionneront ou me renverront sur un de leurs services. Allez, au pif, mail.google.com et video.google.com. Voici les détails affichés sur mon certificat SSL. Autant dire rien de plus qu'une personne ne saurait pas déjà en ayant visité mon domaine... Il ne connaitra ni ne verra pas mes autres domaines mais pourra certainement en deviner puisque c'est de la logique. Si par exemple la personne a son serveur mail, tu peux supposer que mail.ndd.tld ou webmail.ndd.tld va fonctionner. Ça serait bizarre d'avoir azerty.ndd.tld pour cacher par exemple mail.ndd.tld ! 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.