Aller au contenu

Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?

MilesTEG1
 Partager

Messages recommandés

  • Réponses 112
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

oracle7
oracle7

@MilesTEG1 Bonjour, Bah oui ... Oh là je suis pas réveillé ce matin ...🤪 Cordialement oracle7😉

MilesTEG1
MilesTEG1

Hmmm j’ai peur un peu pour mes données et tout… car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois… Pour jouer la la sécurité, je pr

MilesTEG1
MilesTEG1

@Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ? Mettre ton ndd là : https://www.ssllabs.com/sslte

Images postées

Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)

J'ai retrouvé où il est question de ne pas activer HTST c'est dans le tuto du proxy inverse de Kawamashi. Il dit :

"Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé)."

Alors je me pose la question (et je la pose aux autres membres) Faut-il activer HSTS ?

Je suis allé voir sur Qwant qui est mon copain et j'ai trouvé ceci :

https://www.ionos.fr/digitalguide/sites-internet/developpement-web/hsts-connexions-https-fiables-et-securisees/

 et en lisant cet article j'ai compris que, même avec une redirection http vers https, l'homme du milieu pouvais me nuire. Alors @MilesTEG1 je crois que je vais te suivre. 

Modifié par Jeff777
0
Lien vers le commentaire
Partager sur d’autres sites
MilesTEG1 Veteran

MilesTEG1

Posté(e)
  • Auteur
Posté(e)

Je ne l'active que dans les entrées du reverse proxy 😉

Sinon, j'ai pu virer les lignes du .htaccess pour PhotoStation vu que ça ne sert plus à grand chose dès lors qu'on a paramétré un port particulier pour Synology Photos.

Du coup, est-il utile de laisser la partie réécriture des URI en HTTPS ?

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)
il y a 1 minute, MilesTEG1 a dit :

Je ne l'active que dans les entrées du reverse proxy

Où est-ce que tu l'actives si ce n'est pas dans les entrées du reverses proxy ?

 

Modifié par Jeff777
0
Lien vers le commentaire
Partager sur d’autres sites
MilesTEG1 Veteran

MilesTEG1

Posté(e)
  • Auteur
Posté(e)
Il y a 8 heures, Einsteinium a dit :

Le hsts dans le temps non, maintenant oui sans aucun soucis et c’est même mieux !

Ok, donc je le laisse activé par défaut sur tous les domaines dans le reverse proxy 😉

Il y a 8 heures, Einsteinium a dit :

D’ailleurs vous pouvez même faire pré charger votre domaine pour qu’il passe directement en https auprès des navigateurs 🙂

https://hstspreload.org

Heu, là j'ai pas tout saisi... Faut faire comment pour "pré-charger le domaine" ?

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

0
Lien vers le commentaire
Partager sur d’autres sites
MilesTEG1 Veteran

MilesTEG1

Posté(e)
  • Auteur
Posté(e)
il y a 30 minutes, Jeff777 a dit :

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

Même chose pour moi.
La partie simple est déjà faite, mais à partir du point n°4, je suis perdu.

il y a 28 minutes, .Shad. a dit :

Tout est décrit sur le lien donné par @Einsteinium

C'est peut-être très clair et facile pour vous, mais je t'avoue que pour moi (et probablement pour @Jeff777) c'est loin d'être clair...

0
Lien vers le commentaire
Partager sur d’autres sites
MilesTEG1 Veteran

MilesTEG1

Posté(e)
  • Auteur
Posté(e)

J'ai trouvé ça à ajouter dans le .htaccess qui pourrait correspondre à ce qui est présent dans le lien de @Einsteinium : 

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Source : Synology - Forcer les connexions HTTPS (cachem.fr)

Mais ça semble ne pas être pris en compte :
j'ai ça dans le test https://www.ssllabs.com/ssltest/ :

Strict Transport Security (HSTS) Yes
max-age=15768000; includeSubdomains; preload
HSTS Preloading Not in: Chrome  Edge  Firefox  IE 

 

PS : mon .htaccess : 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

 

1
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

@MilesTEG1 Le preload pour moi n'a d'intérêt que pour éviter que la première connexion à un site, si tu utilises HTTP dans l'URL, soit non chiffrée.
Je ne vois pas spécialement l'intérêt car généralement tu n'entres pas des credentials au chargement d'une page.

En revanche si tu as mis ton domaine racine et tous tes sous-domaines en preload, et que ton proxy inversé déconne, bonne chance pour arriver à te connecter depuis l'extérieur.

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@MilesTEG1

Bonjour,

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

J'ai donc sur tes commentaires précédents :

  • activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),
  • appliquer le HSTS à toutes mes règles de proxy inversé,
  • activer le HSTS dans Firefox (paramètres / Vie privées et sécurité / Mode HTTPS uniquement / Activer le mode HTTPS uniquement dans toutes les fenêtres),
  • enregistrer mon domaine sur le lien fourni par @Einsteinium (merci à lui pour l'info);

pour au final récupérer un "A+" sur le site https://www.ssllabs.com/ssltest/.

Je ne sais dire si cela a en est une conséquence, mais je constate depuis ces manipulations, une plus grande réactivité et plus de rapidité dans la navigation sur le net ...

Cordialement

oracle7😉

 

0
Lien vers le commentaire
Partager sur d’autres sites
Einsteinium Experienced

Einsteinium

Posté(e)
Posté(e)
il y a 5 minutes, .Shad. a dit :

Le preload pour moi n'a d'intérêt

Quand tu n’ouvres pas le port 80 qui concentre 95% des attaques, si un de tes utilisateurs ou toi même tapé directement le domaine, il passe directement en https.

 

il y a 5 minutes, oracle7 a dit :

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

Que si dsm 6, sinon inutile avec dsm 7

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

 

Il y a 1 heure, Einsteinium a dit :

Que si dsm 6, sinon inutile avec dsm 7

Tu as une idée du max-age avec DSM7. Je comprends que je risque d'être bloqué si je fais une erreur donc un max-age de moins d'une heure me va bien. C'est ce que je ferai avec DSM6 mais quid de DSM7 ?

 

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.