Jeff777 Posté(e) le 9 juin 2021 Partager Posté(e) le 9 juin 2021 Bonjour, @oracle7 ça y est je suis inscrit préloaded ce matin 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 9 juin 2021 Partager Posté(e) le 9 juin 2021 @Jeff777 Bonjour, J'ai eu aussi ce matin la confirmation de mon inscription en preload. Donc c'est assez rapide finalement 😊 Voilà un point de sécurité supplémentaire bien venu !😀 Sinon pour info, j'ai eut aussi la réponse de la team HSTS : Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 juin 2021 Partager Posté(e) le 9 juin 2021 Juste pour chrome pour le moment les gas, les chemins est un peu plus long pour les autres navigateurs 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 9 juin 2021 Partager Posté(e) le 9 juin 2021 @Einsteinium Existe-t-il un site qui permet de vérifier l'inscription sur l'ensemble des autres navigateurs ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 juin 2021 Partager Posté(e) le 9 juin 2021 Non aucun, suffira à chaque iodate de purger les données de navigateur et ensuite tapé ton domaine sans http/https, s’il est bien intégré il sera en https, sinon http 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Il y a 11 heures, Einsteinium a dit : tapé ton domaine sans http/https, s’il est bien intégré il sera en https, sinon http Bonjour, ça c'était déjà vrai avant l'inscription du moins si tape tartanpion.mondomaine. Si je tape simplement mon nom de domaine je n'ai pas de réponse (site inaccessible) Si je tape tartanpion.mondomaine il passe en https://tartanpion.mondomaine et si cela correspond à une entrée du proxy inverse la page du site ou de l'appli s'affiche rapidement (bien plus rapidement qu'avant l'inscription au preloading). Si cela ne correspond pas à une entrée, la page d'accueil de Webstation s'affiche. La nouveauté c'est la vitesse d'affichage. C'est vrai avec Chrome mais c'est pareille avec Opéra. Donc peut-être suis-je aussi inscrit sur la liste d'Opéra. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Cela dépends aussi de la configuration du navigateur, si tu as fait en sorte d’être directement en https, pour toi cela ne change rien, moi j’ai fais cette démarche vis à vis des autres. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 (modifié) Pas bien compris 🙄. Pour moi le HSTS c'était pour éviter le "man in the middle" car la redirection je l'avait déjà. @oracle7 j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess. Edit : De plus je pense que je suis aussi preloaded avec Opera et Edge car le chargement de la page d'accueil de mon site wordpress est quasi immédiat (avec une extension qui fait appel à une page googlemap) alors qu'avant cela mettait au moins 30s pour la charger.🙂 Modifié le 10 juin 2021 par Jeff777 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Il y a 3 heures, Jeff777 a dit : car la redirection je l'avait déjà Une redirection, donc si quelqu'un fessait une requête en http contenant un token en http... celui la partait en clair avant la redirection de ton serveur web, désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 il y a 4 minutes, Einsteinium a dit : désormais avec le preload, le navigateur empêchera cela, le http sera directement mis en https avant la requête. oui c'est bien ce que je dis : Il y a 3 heures, Jeff777 a dit : Pour moi le HSTS c'était pour éviter le "man in the middle" ou du moins ce que j'ai voulu dire. Tout va bien 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 (modifié) @Jeff777 Bonjour, Il y a 5 heures, Jeff777 a dit : j'ai réussi à supprimer l'erreur "unnecessary HSTS header over HTTP". Il suffit d'ajouter "env=HTTPS" après la ligne ajoutée au .htaccess. Tu est sûr de ton coup là, car quand je fais cet ajout au fichier ".htacces" je récolte alors ceci : EDIT : OUPS !!! il faut ajouter le "env=HTTPS" à la fin de la ligne ajoutée au "htaccess" et NON PAS comme une nouvelle ligne à la fin du fichier. Du coup cela marche tout de suite mieux !!! 😊 Donc finalement Un grand MERCI à toi pour l'astuce. 🤗👍👏 Cordialement oracle7😉 Modifié le 10 juin 2021 par oracle7 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Mon fichier .htaccess : Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteCond %{HTTP_HOST} ^photo.ndd.ovh$ RewriteRule ^$ https://photo.ndd/photo [L,R=301] Oui c'était pas clair.🙄 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 10 juin 2021 Auteur Partager Posté(e) le 10 juin 2021 @Jeff777 Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ? Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible... De plus, j'ai du mal à voir l'intérêt... enfin je n'arrive pas à comprendre ce que ça changera par rapport à l'activation du HSTS sur le NAS lui-même... Car normalement, une requête faite en HTTP sera refaite en HTTPS (avec HSTS activé sur le NAS) non ? Et concrètement, ça fait quoi ce preload ? Et dernier point d'inquiétude pour moi : où sont inscrits ces noms de domaine ?? Car ils doivent bien être stocker quelque part pour que les navigateurs fassent le preload ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 @MilesTEG1 Bonjour, Le but de ce "bouzin" est d'éviter le problème du "man in the middle" càd que ta requête HTTP ne soit interceptée et modifiée par un malveillant avant d'être convertie en HTTPS sur le serveur. Si j'ai bien compris c'est ton navigateur qui fait ce boulot en premier sur la base une liste préchargée de domaines. il y a 12 minutes, MilesTEG1 a dit : Sinon, je suis toujours sceptique que ce HSTS preload : ça me fait un peu peur car c'est marqué comme étant irréversible... Relis bien les explications données ici (notamment le premier lien vers Wiki) et de plus ce n'est pas irréversible mais juste très compliqué et long pour se désinscrire. Il faut justifier fortement la raison de la désinscription. Maintenant, je peux me tromper mais j'ai aussi compris que cette liste est à terme incluse dans le code du navigateur. En attendant, j'imagine qu'elle est stockée sur les serveurs de HSTS. Dans tous les cas, comme ce mécanisme de protection est normé (RFC 6797) pourquoi ne pas lui faire confiance ? Ne pas hésiter à me reprendre si j'ai dit des co...ies ... Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 10 juin 2021 Auteur Partager Posté(e) le 10 juin 2021 Ok, ok. Tu es en train de me convaincre 🙂 Par contre, j'ai pas de www.mondomain.tld... j'ai une fin de non recevoir à cause de ça... Tout comme mondomaine.tld n'aboutie à rien puisque j'ai rien dans le reverse proxy pour... Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 @MilesTEG1 Bonjour, il y a 48 minutes, MilesTEG1 a dit : Faut que je configure ces deux domaines dans le reverseproxy ? (et pour www que je vois dans l'interface OVH car actuellement il n'est pas redirigé vers mon IP à moi...). Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Il y a 4 heures, MilesTEG1 a dit : Tu sais qu'avec DSM 7 il n'est plus nécessaire de faire la réécriture des URL pour photos ? Ah oui quelqu'un m'a déjà dit cela. Bon ça marche comme cela alors je verrai plus tard. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 10 juin 2021 Partager Posté(e) le 10 juin 2021 Et de toute façon tous les domaines créer sont publier… tout comme le sont les demande de certificat LE (https://crt.sh) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 11 juin 2021 Partager Posté(e) le 11 juin 2021 Impressionnant ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 11 juin 2021 Auteur Partager Posté(e) le 11 juin 2021 (modifié) Il y a 17 heures, oracle7 a dit : Non, je n'ai rien à ce niveau dans le reverse proxy. J'ai juste dans ma zone DNS chez OVH le www.ndd.tld en CNAME vers mon ndd.tld (créé par défaut avec le compte nnd.tld) et mon ndd.tld qui pointe (enreg A) sur mon dynDNS. Bon je viens de modifier l'entrée par défaut d'OVH pour le www qui pointait sur le serveur WEB d'OVH (hébergement inclus dans mon offre de nom de domaine) en www2 (histoire d'avoir encore les valeurs fournies par OVH). Le www.ndd.tld point bien vers mon NAS maintenant, mais le www2 également 😮 Alors qu'avant la modif, le www pointait sur l'hébergement de OVH... Bon c'est pas trop grave. Je pense qu'il faut que l'info DNS se propage, car là j'ai ça : pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet. Modifié le 11 juin 2021 par MilesTEG1 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 11 juin 2021 Partager Posté(e) le 11 juin 2021 (modifié) @MilesTEG1 Bonjour, il y a une heure, MilesTEG1 a dit : pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet. Grave ou pas je ne saurais dire mais par contre si tu bloques le port 80 dans le pare-feu du routeur et du NAS, je crains que cela ne le fasse pas. Mais je peut me tromper ... Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS : ndd.tld. 0 TXT "1|www.ndd.tld" www.ndd.tld. 0 TXT "l|fr" eux aussi de mémoire inscrits par défaut. Cordialement oracle7😉 Modifié le 11 juin 2021 par oracle7 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 juin 2021 Partager Posté(e) le 11 juin 2021 Il y a 1 heure, MilesTEG1 a dit : pour le warning, c'est grave ou pas ? J'ai bloqué le port 80 sur le pare-feu du routeur et du NAS pour tout ce qui vient d'internet. J’ai le même et non ce n’est pas grave, c’est même mieux, tu retires +95% des attaques que subira ton serveur web par des bots. Apres ndd.tld a ton ip et un *.ndd.tld cname ndd.tld c’est le plus propre… y a plus beaucoup de site qui utilise encore le www au passage. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 11 juin 2021 Auteur Partager Posté(e) le 11 juin 2021 purée, j'avais pas fait gaffe, mon domaine apparaissait en clair dans l'image 😅 j'ai supprimé et re-envoyé une capture masquée ^^ Sinon ok pour ça : Il y a 1 heure, oracle7 a dit : Sinon, après vérification j'ai aussi ces enregistrements TXT dans ma zone DNS : ndd.tld. 0 TXT "1|www.ndd.tld" www.ndd.tld. 0 TXT "l|fr" Ça sert à quoi le champ TXT ? et comment il est formaté ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 11 juin 2021 Partager Posté(e) le 11 juin 2021 @MilesTEG1 Bonjour, Désolé je ne te serais pas d'u grand secours, je ne sais à quoi ils servent. C'était juste pour te dire que j'avais aussi ces enregistrements.🧐 Pour leur formatage ils contiennent simplement la chaine la plus à droite et entre guillemets et on un TTL par défaut. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 11 juin 2021 Auteur Partager Posté(e) le 11 juin 2021 Ok, bon pour le moment je laisse comme ça, mais j'ai encore l'erreur : Error: www subdomain does not support HTTPS Domain error: The www subdomain exists, but we couldn't connect to it using HTTPS ("read tcp 172.17.x.x:52294->213.186.x.x:443: read: connection reset by peer"). Since many people type this by habit, HSTS preloading would likely cause issues for your site. Je renterais demain. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.