Aller au contenu

Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?


Messages recommandés

Il y a 1 heure, Jeff777 a dit :

Oups, ça fait 6 mois si je me trompe pas. Tu connais un moyen de changer cela. Si on le change avec .htaccess c'est prioritaire ?

Je viens de testé, le htaccess écrasera la config, par défaut la durée est insuffisante par contre, donc faudra faire cette manipulation le temps de faire la manipulation (moi sa date de mon vps)

Lien vers le commentaire
Partager sur d’autres sites

Bon j'ai quand même progressé. J'ai passé mes 64 entrées des proxy inverses en hsts (en fait ce sont deux fois les mêmes, 32 sur chaque NAS). J'ai également passé en hsts les virtual hosts.

Et j'ai introduit la ligne du header dans le htaccess du dsm6.

Il y a 5 heures, oracle7 a dit :

activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),

ça je n'ai pas fait car je ne sais pas ce qu'il faut mettre et je ne crois pas que ce soit nécessaire vu que j'accède au dsm par le proxy inverse.

Voilà le résultat pour tester l'éligibilité avec le lien de @Einsteinium:

Capture.thumb.JPG.0ef2ee93ef40f268ef951fb2f156288e.JPG

donc je suis éligible avec un warning mais il m'a fallu mettre 1 an de max-age sinon pas d'éligibilité possible.

D'après le warning qui n'est pas bloquant, Il faut que je limite l'ajout dans le htaccess au https. Je ne sais pas trop comment faire.

Tant que je ne suis pas certain de ce que je fais et surtout que je ne sais pas tester avec un max-age raisonnable  je n'appuie pas sur le bouton.🥶

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 7 minutes, Jeff777 a dit :

Il faut que je limite l'ajout dans le htaccess au https. Je ne sais pas trop comment faire.

Pour ma part, j'ai rajouté la ligne donnée par @MilesTEG1 précédemment dans le ".htaccess" qui prend en compte un max-age de 6 mois donc pas trop long, enfin je crois ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, oracle7 a dit :

Pour ma part, j'ai rajouté la ligne donnée par @MilesTEG1 précédemment dans le ".htaccess" qui prend en compte un max-age de 6 mois donc pas trop long, enfin je crois ...

Il a mis un an et le test ssllabs lui dit 6 mois. Curieux !

Moi j'avais mis 15 minutes et je n'étais pas éligible car il fallait 1 an minimum ! C'est ce que j'ai mis pour obtenir l'image ci-dessus.

Le warning dit que je devrais retirer le hsts header sur les requêtes http  (du moins c'est ce que je crois comprendre).

Donc je pensais faire un test dans le htaccess pour que la ligne ajoutée ne soit prise en compte que pour le https.

Le warning n'est pas bloquant je pourrais donc demander le préload mais je comprends dans la suite du texte qu'il y a moyen de tester pas à pas (5mn, 1 semaine puis un mois) ce que je souhaiterais faire.

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Jeff777 a dit :
Il y a 5 heures, oracle7 a dit :

activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),

ça je n'ai pas fait car je ne sais pas ce qu'il faut mettre et je ne crois pas que ce soit nécessaire vu que j'accède au dsm par le proxy inverse.

Dans DSM 7, cette page semble ne plus exister...
mais j'ai trouvé ça, est-ce que ça correspond à ce que tu as modifié ?
6k2jBvT.png

(La partie "Rediriger automatiquement les connexions HTTP vers HTTPS...")

 

Lien vers le commentaire
Partager sur d’autres sites

Non, tu sais bien que la redirection http vers https fait bugger le proxy inverse (sauf s'il y a du changement avec dsm7) c'est pour cela que l'on utilise le htaccess.

Par contre sous domaine il y a une case hsts mais pour l'activer il faut mettre un domaine personnalisé. C'est, je crois comprendre, ce qu'à fait @oracle7.  J'avoue ne pas trop savoir quoi mettre comme domaine personnalisé vu que j'accède en externe comme en interne au dsm par le reverse proxy. Donc je n'ai rien mis, mais dans l'entrée dsm du reverse proxy j'ai activé le hsts et ceci sur les 2 nas et d'ailleurs pour toutes les entrées.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Bonjour

@Jeff777 J'ai juste repris le nom de mon NAS avec mon domaine telque : NomDuNAS.ndd.tld mais j'accède au NAS par le reverse proxy avec un truc du genre dsm.ndd.tld.

@MilesTEG1 la réponse précédente de @Jeff777 est claire : ne pas utiliser la redirection HTTP vers HTTPS mais renseigner un domaine et cocher la case HSTS. (manisfestement l'écran "Réseau / Paramètres de DSM" pour DSM6 a été renommé dans DSM7 en "Portail de connexion / DSM". Pourquoi pas il faudra simplement s'habituer et intégrer tous ces réarrangements ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, oracle7 a dit :

J'ai juste repris le nom de mon NAS avec mon domaine telque : NomDuNAS.ndd.tld

OK merci. Je l'ai fait et ai coché la case hsts.

J'ai toujours le même warning : unnecessary hsts header over http.

Quelqu'un sait comment corriger cela ?

Sinon après avoir lu plusieurs sites je me suis lancé et ai lancé la demande de préload et j'ai maintenant ceci (wait and see) :

Status: "mondomaine" is pending submission to the preload list.

However, it still has the following issues, which we recommend fixing:

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 1 minute, Jeff777 a dit :

J'ai toujours le même warning : unnecessary hsts header over http.

Comme ce n'est qu'un "Warning" j'ai passé outre en attendant d'avoir plus d'infos. Erreur de ma part, je ne saurai dire pour l'instant ? Du coup je me demande qu'en même si ce warning ne viendrais pas du ".htaccess" dans le quel on dit (avec l'ajout de la fameuse ligne) de toujours utiliser le "Strict-Transport-Security". A voir ...

il y a 4 minutes, Jeff777 a dit :

Sinon après avoir lu plusieurs sites je me suis lancé et ai lancé la demande de préload et j'ai maintenant ceci (wait and see) :

C'est étonnant, chez moi de mémoire cela a été quasi instantané 🤔

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il y a 7 heures, oracle7 a dit :

C'est étonnant, chez moi de mémoire cela a été quasi instantané

donc je dois avoir un problème quelque part. Ce matin j'ai toujours le même résultat.

Tu peux me dire ce que répond le test https://hstspreload.org/  ainsi que //net-internals/#hsts dans Chrome si tu utilises (moi je n'ai aucune réponse, site injoignable).

Il y a 5 heures, Einsteinium a dit :

sachez qu’il faudra entre 1 et 3 mois afin que votre domaine soit inscrit en dur dans les navigateurs

Ah oui 🙄 merci de l'info

Bon dimanche

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, oracle7 a dit :

Par contre, je n'utilise que FF et ton URL : "//net-internals/#hsts" n'est pas reconnue : site introuvable ! Peut-être une erreur de saisie dans ton post ? 🤔

Comme il disait c'est relatif à Chrome :

Il y a 6 heures, Jeff777 a dit :

ainsi que //net-internals/#hsts dans Chrome si tu utilises

 

Lien vers le commentaire
Partager sur d’autres sites

Oui, comme moi, nous sommes sur la liste d'attente mais pas encore inscrit. J'ai lu que cela pouvais prendre quelques jours et même comme @Einsteinium nous a dit :

Il y a 13 heures, Einsteinium a dit :

sachez qu’il faudra entre 1 et 3 mois afin que votre domaine soit inscrit en dur dans les navigateurs

Alors attendons 😉

Le premier qui voit du changement le signale.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Votre site sera inscrit en dur dans le prochain update de navigateur (pas celle actuellement en dev, mais la prochaine), cela prendra 1 mois environ pour chrome, d’ici 3 mois vous serez en dur dans tous les navigateurs.

Et donc après cela quand votre domaine et ses sous domaines seront tapé dans les navigateurs, ils passeront automatiquement en https si vous l’omettez 😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.