Aller au contenu

Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?


Messages recommandés

Il y a 11 heures, Einsteinium a dit :

tapé ton domaine sans http/https, s’il est bien intégré il sera en https, sinon http

Bonjour,

ça c'était déjà vrai avant l'inscription du moins si tape tartanpion.mondomaine.

Si je tape simplement mon nom de domaine je n'ai pas de réponse (site inaccessible)

Si je tape tartanpion.mondomaine il passe en https://tartanpion.mondomaine  et si cela correspond à une entrée du proxy inverse la page du site ou de l'appli s'affiche rapidement (bien plus rapidement qu'avant l'inscription au preloading). Si cela ne correspond pas à une entrée, la page d'accueil de Webstation s'affiche.

La nouveauté c'est la vitesse d'affichage.

 C'est vrai avec Chrome mais c'est pareille avec Opéra. Donc peut-être suis-je aussi inscrit sur la liste d'Opéra.

 

Lien vers le commentaire
Partager sur d’autres sites

Pas bien compris 🙄. Pour moi le HSTS c'était pour éviter le "man in the middle" car la redirection je l'avait déjà.

@oracle7 j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess.
Capture.JPG.5f56ee50e33bed83a91f71be42febcf3.JPG

 

Edit : De plus je pense que je suis aussi preloaded avec Opera et Edge car le chargement de la page d'accueil de mon site wordpress est quasi immédiat (avec une extension qui fait appel à une page googlemap) alors qu'avant cela mettait au moins 30s pour la charger.🙂

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Jeff777 a dit :

car la redirection je l'avait déjà

Une redirection, donc si quelqu'un fessait une requête en http contenant un token en http... celui la partait en clair avant la redirection de ton serveur web, désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête.

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Einsteinium a dit :

désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête.

oui c'est bien ce que je dis :

Il y a 3 heures, Jeff777 a dit :

Pour moi le HSTS c'était pour éviter le "man in the middle"

ou du moins ce que j'ai voulu dire. Tout va bien 😉

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Il y a 5 heures, Jeff777 a dit :

 j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess.

Tu est sûr de ton coup là, car quand je fais cet ajout au fichier ".htacces" je récolte alors ceci :

waTK65y.png

 

EDIT  : OUPS !!! il faut ajouter le "env=HTTPS" à la fin de la ligne ajoutée au "htaccess" et NON PAS comme une nouvelle ligne à la fin du fichier.

Du coup cela marche tout de suite mieux !!! 😊

Donc finalement Un grand MERCI à toi pour l'astuce. 🤗👍👏

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Mon fichier .htaccess :

 

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


RewriteCond %{HTTP_HOST} ^photo.ndd.ovh$
RewriteRule ^$ https://photo.ndd/photo [L,R=301]

 

Oui c'était pas clair.🙄

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ?

 

Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible...
De plus, j'ai du mal à voir l'intérêt... enfin je n'arrive pas à comprendre ce que ça changera par rapport à l'activation du HSTS sur le NAS lui-même...
Car normalement, une requête faite en HTTP sera refaite en HTTPS (avec HSTS activé sur le NAS) non ?
Et concrètement, ça fait quoi ce preload ?

 

Et dernier point d'inquiétude pour moi : où sont inscrits ces noms de domaine ?? Car ils doivent bien être stocker quelque part pour que les navigateurs fassent le preload ?
 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

Le but de ce "bouzin" est d'éviter le problème du "man in the middle" càd que ta requête HTTP ne soit interceptée et modifiée par un malveillant avant d'être convertie en HTTPS sur le serveur. Si j'ai bien compris c'est ton navigateur qui fait ce boulot en premier sur la base une liste préchargée de domaines.

il y a 12 minutes, MilesTEG1 a dit :

Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible...

Relis bien les explications données ici (notamment le premier lien vers Wiki) et de plus ce n'est pas irréversible mais juste très compliqué et long pour se désinscrire. Il faut justifier fortement la raison de la désinscription.

Maintenant, je peux me tromper mais j'ai aussi compris que cette liste est à terme incluse dans le code du navigateur. En attendant, j'imagine qu'elle est stockée sur les serveurs de HSTS.

Dans tous les cas, comme ce mécanisme de protection est normé (RFC 6797) pourquoi ne pas lui faire confiance ?

Ne pas hésiter à me reprendre si j'ai dit des co...ies ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Ok, ok. Tu es en train de me convaincre 🙂

Par contre, j'ai pas de www.mondomain.tld...

j'ai une fin de non recevoir à cause de ça...
Tout comme mondomaine.tld n'aboutie à rien puisque j'ai rien dans le reverse proxy pour...

Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...).

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

il y a 48 minutes, MilesTEG1 a dit :

Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...).

Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, MilesTEG1 a dit :

 Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ?

Ah oui quelqu'un m'a déjà dit cela. Bon ça marche comme cela alors je verrai plus tard.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, oracle7 a dit :

Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS.

Bon je viens de modifier l'entrée par défaut d'OVH pour le www qui pointait sur le serveur WEB d'OVH (hébergement inclus dans mon offre de nom de domaine) en www2 (histoire d'avoir encore les valeurs fournies par OVH).
vTyV1Jd.png

Le www.ndd.tld point bien vers mon NAS maintenant, mais le www2 également 😮 
Alors qu'avant la modif, le www pointait sur l'hébergement de OVH...

Bon c'est pas trop grave.

Je pense qu'il faut que l'info DNS se propage, car là j'ai ça :
XktExJh.png


pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

il y a une heure, MilesTEG1 a dit :

pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

Grave ou pas je ne saurais dire mais par contre si tu bloques le port 80 dans le pare-feu du routeur et du NAS, je crains que cela ne le fasse pas. Mais je peut me tromper ...

Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS :

  • ndd.tld.   0   TXT    "1|www.ndd.tld"
  • www.ndd.tld.   0    TXT   "l|fr"

eux aussi de mémoire inscrits par défaut.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, MilesTEG1 a dit :

pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet.

J’ai le même et non ce n’est pas grave, c’est même mieux, tu retires +95% des attaques que subira ton serveur web par des bots.

Apres ndd.tld a ton ip et un *.ndd.tld cname ndd.tld c’est le plus propre… y a plus beaucoup de site qui utilise encore le www au passage.

Lien vers le commentaire
Partager sur d’autres sites

purée, j'avais pas fait gaffe, mon domaine apparaissait en clair dans l'image 😅

j'ai supprimé et re-envoyé une capture masquée ^^

 

Sinon ok pour ça :

Il y a 1 heure, oracle7 a dit :

Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS :

  • ndd.tld.   0   TXT    "1|www.ndd.tld"
  • www.ndd.tld.   0    TXT   "l|fr"

Ça sert à quoi le champ TXT ? et comment il est formaté ?

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

Désolé je ne te serais pas d'u grand secours, je ne sais à quoi ils servent. C'était juste pour te dire que j'avais aussi ces enregistrements.🧐

Pour leur formatage ils contiennent simplement la chaine la plus à droite et entre guillemets et on un TTL par défaut.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Ok, bon pour le moment je laisse comme ça, mais j'ai encore l'erreur :

 

Error: www subdomain does not support HTTPS
Domain error: The www subdomain exists, but we couldn't connect to it using HTTPS ("read tcp 172.17.x.x:52294->213.186.x.x:443: read: connection reset by peer"). Since many people type this by habit, HSTS preloading would likely cause issues for your site.

Je renterais demain.

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.