Certificat Let's Encrypt

[El_Murphy]

Parfait ,

Pour la sécurité , maintenant que vous avez le certificat vous pouvez fermer le port 80 , il nous était utile seulement pour communiquer avec le server let's encrypt.

Il faudra le ré-ouvrir dans 89 jours pour le renouvellement automatique du certificat , ou alors faire une règle dans le par-feu du NAS en indiquand l'ip de let's encrypt (trouvable sur ce forum).

Le tuto sur la sécurisation du nas est complet , il se trouve dans la section "Tutoriels" et je vous le conseil vivement !

[EniD]

Merci BEAUCOUP Le Murphy !
Question subsidiaire j'ai ouvert une porte conséquente sur le modem comme sur le firewall du syno est-ce moins dangereux que quickconnect ?
Je peux fermer les ports 80 sur le modem aussi ?

[El_Murphy]

Oui vous pouvez le fermer directement sur le modem.

Avec Quickconnect votre nas établie une liaison avec les serveurs de synology et votre navigateur se connecte au serveurs synology pour se rendre sur le NAS.

Avec cette méthode vous ne passez pas par les serveurs de synology , en contre partie vous rendez directement accessible votre NAS.

Donc cela dépend de votre niveau de sécurité , compte admin actif , mdp fort avec caractères spéciaux , castrés les comptes a risque en matières de permissions....etc

Mais grâce a Fenrir on a toutes les infos ici :

 

[EniD]

Oui j'avais déjà suivi bon nombre de ses conseilles !
Super tant qu'a faire auriez vous la fameuse IP let's encrypt histoire d'autoriser une ip plutot que tout un port ?

[El_Murphy]

Non malheureusement je n'arrive plus a mettre la main dessus , et après réflexion , si Let's Encrypt change d'ip le renouvellement sera bloqué.

Je vous conseil de laisser le port 80 fermé , vous recevrez des mails pour vous avertir que le certificat arrive a expiration , il vous suffira de rouvrir le port et de faire le renouvellement.

 

[unPixel]

Bonsoir,

Les IP des serveurs de Let's Encrypt sont :

A ouvrir uniquement sur le port 80.

Et elles ont pas changées depuis oulaaaaa, longtemps ! En tout cas, ça fait plus de deux ans je crois que je connais ces deux IP.

Modifié le 3 novembre 2018 par InfoYANN

[El_Murphy]

Ah !  merci InfoYANN 👍

[unPixel]

De rien 😉

C'est toujours mieux d'ouvrir uniquement ces deux IP plutôt que les USA au complet. Ils sont pas des enfants de cœur non plus chez l'oncle sam. Et puis si un jour les adresses IP changent, on le saura très vite et on pourra en trente secondes régler le soucis.

[EniD]

Merci les amis !

Petite question comment supprimer les exceptions de certificats que j'utilisais jusqu'à maintenant ?

[unPixel]

Qu'appelles-tu exceptions de certificats stp ?

[EniD]

Avant que mon certificat ne soit reconnu quand je suis passé en https le certificat était autosigné par synology donc à chaque connection (navigateur) fallait que je crée une exception

[unPixel]

Ahhh. Et bien c'est dans les options de certificats de ton navigateur alors 😉

Modifié le 3 novembre 2018 par InfoYANN

[EniD]

Pour info si quelqu'un se pose la question sous windows et consors (il suffit de trouver le chemin pour l'os correspondant).
D:\Users\username\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default => supprimer cert9.db (tous les certificats) et supprimer cert_override.txt (certificats avec exception permanente)

[unPixel]

Merci pour le partage d'info 😉

Modifié le 3 novembre 2018 par InfoYANN