certificat let's encrypt HS d'un coup

[forplatina]

Bonjour,

J'ai également un souci de certificat comme un post précédent.

Je tiens à dire que tout fonctionnait bien depuis environ 6 mois, et que je n'ai rien changé à ma configuration :

Nom de domaine chez OVH

Certificat par Let's Encrypt X3 qui se renouvelle correctement lorsque j'ouvre le port 80 de ma box (en ayant suivi le tuto de reverse proxy notamment)

Ma box est une box Orange. Je suis passé chez Sosh il y'a peu mais j'ai gardé le même matériel. Disons que le changement a été uniquement administratif et je ne sais pas/vois pas si il pourrait y avoir un lien avec mon pbm.

Mon problème : c'est que j'ai tenté hier d'accédé à mon Nas depuis le PC du boulot (cela fonctionnait parfaitement bien depuis des mois), mais j'ai à présent l'anomalie de certificat révoqué/non valable (quelque chose comme ça).

Depuis mon téléphone portable en 4G via Chrome, j'y accède bien mais le certificat lets Encrypt X3 est daté du mois d'août alors que je l'ai renouvelé hier depuis mon NAS (j'ai pensé que l'anomalie sur le pc de boulot était dû à un certificat expiré mais non, il était valable jusqu'en novembre. Et à présent il est valable jusqu'à mi janvier 2020).

Je viens encore de tester à l'instant depuis mon pc de maison connecté en partage de connexion via mon téléphone en 4G et idem le certificat est considéré comme révoqué. Hormis sur Chrome où cela passe mais avec un certificat valable que jusqu'au mois de novembre. Comme si Chrome avait simplement gardé mémoire de mes précédentes connexions et ne faisait plus de vérification.

Il semble donc que le certificat ne soit pas vu/reconnu depuis le Web. 

J'avoue ne pas comprendre et ne savoir que faire.... Je viens encore de renouveler une seconde fois en 24h mon certificat et sa validité va jusqu'au 20/01/2020 mais idem je ne peux plus accéder à aucun de mes sous-domaines "certifiés"....

Modifié il y a 1 minute par forplatina

Modifié le 22 octobre 2019 par forplatina

[Jeff777]

il y a 6 minutes, forplatina a dit :

Ma box est une box Orange. Je suis passé chez Sosh

Bonjour,

Tu n'as plus la même adresse IP. C'est peut-être cela ton problème 🙄

[forplatina]

Merci Jeff, mais ma box en mode "orange" avait déjà une IP dynamique. Pas comme chez Free. Du coup en quoi cela a t'il un impact ?

[Jeff777]

J'ai une IP fixe et je ne connais pas trop la procédure avec les IP dynamiques.

Mais il me semble que dans ce cas tu as dû déclarer un DDNS et là on te demande les coordonnées de ton FAI il te faut donc les changer.

[forplatina]

Chez OVH, je viens de vérifier et mon DynHost est correct. Il affiche bien celui que j'ai actuellement après avoir vérifié sur le site "mon-IP"

[Jeff777]

il y a 40 minutes, forplatina a dit :

Comme si Chrome avait simplement gardé mémoire de mes précédentes connexions

Il faut toujours vider le cache du navigateur pour être sûr de la réponse.

[Mic13710]

Est-ce que les services liés au certificat sont bien réglés pour utiliser le dit certificat. A vérifier dans l'onglet certificat, bouton configurer.

[forplatina]

il y a 1 minute, Mic13710 a dit :

Est-ce que les services liés au certificat sont bien réglés pour utiliser le dit certificat. A vérifier dans l'onglet certificat, bouton configurer.

oui tout est associé à mon nom de domaine.

Par contre pourriez vous me rappeler (je suis pas fort en réseau...) le principe pour pointer sur mon nas via mon DNS sans passer par le reverse proxy et donc le certificat let's Encrypt.

[Mic13710]

Si vous ne passez par par le reverse proxy, il faut utiliser les ports de chaque application. Par exemple pour file station : https://ndd:7001

Il faut bien entendu que le port 7001 soit dirigé vers le NAS et que le parefeu autorise l'accès au 7001 à partir du WAN

[forplatina]

Merci Mic, cela explique pourquoi ça ne fonctionne pas. Vu que j'ai un reverse proxy mes ports configurés pour  chaque type (audio, video etc...) ne fonctionnent pas. 

Mais bon je vais pas commencer à bidouiller et réouvrir cela vu que je n'avais pas de pbm avant.

En tout cas, j'ai bien le port 443 ouvert sur ma box. Et après réflexion le pbm ne vient pas de là, puisque je peux correctement me connecter via mon tel en 4G en tapant : https://file.mondomaine.com

Mais impossible depuis un PC ou un équipement qui n'avait pas mémorisé/accepté mon certificat dernièrement.

J'en déduis aussi que mon téléphone (si je ne touche à rien) refusera la connexion au mois de novembre : date limite du dernier certificat lets' Encrypt reconnu par mon tel.

Modifié le 22 octobre 2019 par forplatina

[Mic13710]

avez-vous nettoyé le cache du navigateur ?

[Jeff777]

il y a 5 minutes, forplatina a dit :

mes ports configurés pour  chaque type (audio, video etc...) ne fonctionnent pas. 

Est-ce que ton nouveau FAI ne t'a pas sucré quelques ports ??

[Mic13710]

Sosh pratique aussi l'IP partagée ?

[Jeff777]

Aucune idée mais c'est dans l'air du temps avec la raréfaction des IPV4

[forplatina]

Sosh c'est Orange. Pour moi aucune différence. Et mon IP externe (normalement dynamique) est bien correct entre ce qui est vu par le NAS et ce qui est vu par OVH et ce qui est vu par le DynHost.

Mon port 443 est bien ouvert dans l'administration de ma box.

Le renouvellement de mon certificat en ouvrant temporairement le port 80 de la box fonctionne bien. 

Mais dès que je surf sur un nouveau PC ou nouveau navigateur internet type firefox que ça soit sur mon pc de maison ou du boulot, le certificat est considéré comme révoqué.

Jeff et/ou Mic, je peux vous donner un de mes sous domaines en MP voir si vous arrivez au moins à tomber sur le portail de mon syno;

[Jeff777]

Je vais m'absenter, je laisse la main à Mic 

[forplatina]

Merci Jeff pour ton assistance. Je viens d'envoyer un MP à Mic.

[Jeff777]

Pas de quoi. Tiens nous au courant si ton problème est résolu.

[forplatina]

Merci à Mic qui m'a répondu par MP.

Il a testé et idem, il ne peut pas accéder à mon NAS car "le certificat du pair a été révoqué. Code d'erreur : SEC_ERROR_REVOKED_CERTIFICATE

Le certificat est pourtant OK du coté du NAS.

[Jeff777]

Et tu as toujours une réponse correcte avec ton tel en 4G ?

[.Shad.]

Est-ce que tu n'as pas fait une mise à jour de ton NAS très dernièrement ? la dernière màj a tendance à perturber l'emploi des certificats existants, il faut parfois les supprimer et en recréer un.

Modifié le 23 octobre 2019 par shadowking

[forplatina]

Merci Shadowking, mon NAS est mis à jour dès qu'il y'a diffusion par Synology. Je vais en effet commencer par supprimer mon certificat actuel et recommencer.

Je verrai ainsi si cela débloque la situation Je vous tiens informé.

Car là cela fonctionne bien depuis mon navigateur chrome de téléphone (et testé aussi en installant la version android de Firefox).

Mais sur PC c'est KO...

[Jeff777]

Très bizarre et les caches DNS et navigateur sont vidés ?

[Mic13710]

@Jeff777 ce n'est pas un problème de cache car je n'ai pas pu me connecter dès le premier essai.

Est-ce que tous les autres noms (SAN) sont inclus dans le certificat ?

[Jeff777]

il y a 6 minutes, Mic13710 a dit :

ce n'est pas un problème de cache car je n'ai pas pu me connecter dès le premier essai.

Je voulais parler du cache Chrome du téléphone sur lequel il peut se connecter avec ce navigateur alors qu'il ne peut pas avec un autre navigateur.

Il y a 15 heures, forplatina a dit :

Depuis mon téléphone portable en 4G via Chrome, j'y accède bien mais le certificat lets Encrypt X3 est daté du mois d'août

Il y a 14 heures, forplatina a dit :

je peux correctement me connecter via mon tel en 4G en tapant : https://file.mondomaine.com

Je suppose que cette adresse te connecte à FileStation . C'est bien cette même adresse qui donne une réponse positive sur le tél et négative sur un PC ou avec Firefox.