Problème avec Certificat Let's Encrypt pour auto hébergement

[tonejay]

Bonjour à tous,

Voilà ma configuration :

- NAS DS218Play sous DSM 7
- Wordpress installé avec site web accessible
- DYnDNS fournit par No-IP (xxxx.ddns.net)
- Nom de domaine fournit par AMEN.FR (xxxx.fr)

Mon probleme :

La redirection fonctionne correctement, j'ai installé un certificat let's encrypt sur mon adresse ddns xxx.ddns.net. Cependant, l'accés a mon site n'est pas sécurisé...Pourriez vous m'aider a finaliser celà svp ?

Merci d'avance !

[Jeff777]

Bonjour,

il y a 23 minutes, tonejay a dit :

l'accés a mon site n'est pas sécurisé

Ton certificat est-il bien configuré pour tous les services ? : Panneau de config/sécurité/certificat/paramètres

[tonejay]

Voilà ce que j'ai ...

 

Modifié le 6 décembre 2021 par tonejay

[Jeff777]

Vois tu une différence si tu mets https://xxxxx.ddns.net  ou http://xxxx.ddns.net    dans  ton navigateur ? 

[tonejay]

Oui en https j'ai le petit cadenas à côté de l'URL... Pas en http

[Jeff777]

Il y a 9 heures, tonejay a dit :

Oui en https j'ai le petit cadenas à côté de l'URL... Pas en http

Il suffit de forcer le http en https.

Attention il ne faut pas activer la redirection hrrp vers https dans  : panneau de config/portail de connexion/DSM. Tu t'exposerai à des problèmes si tu veux utiliser le proxy inverse.

Pour cela, il est préférable de suivre ce tuto sur le proxy inverse même si tu ne vas pas jusqu'au bout. Au moins la partie : Auto-hébergement d'un site web et mise en place des redirections.

Avant cela suit le tuto sur la sécurisation des accès si ce n'est pas déjà fait.😉

Modifié le 7 décembre 2021 par Jeff777

[Einsteinium]

il y a 58 minutes, Jeff777 a dit :

Attention il ne faut pas activer la redirection hrrp vers https dans  : panneau de config/portail de connexion/DSM. Tu t'exposerai à des problèmes si tu veux utiliser le proxy inverse.

Ha bon pourquoi ? 🙂

[Jeff777]

il y a 5 minutes, Einsteinium a dit :

Ha bon pourquoi ?

J'ai manqué quelque chose? C'est corrigé?

[Einsteinium]

sous dsm 6 uniquement, pas sous dsm 7 🙂

[Jeff777]

il y a 6 minutes, Einsteinium a dit :

sous dsm 6 uniquement, pas sous dsm 7

C'est corrigé sous DSM6 pas sous DSM7 ???Tu veux dire le contraire non?

Je ne sais pas si c'est possible mais ce serait bien, dans ce cas, de mettre un commentaire dans le Tuto de Fenrir (sécuriser les accès au nas) où il est dit :

Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station).

Modifié le 7 décembre 2021 par Jeff777

[Einsteinium]

Oui pardon, valable que sous dsm 6, dsm 7 cela ne pose plus aucun soucis.

[Jeff777]

Ok donc @tonejay peut cocher la case...et moi aussi sur mon DS218+ 😉

[CyberFr]

 

il y a 28 minutes, Einsteinium a dit :

Oui pardon, valable que sous dsm 6, dsm 7 cela ne pose plus aucun soucis.

Information intéressante en effet. Qui aurait mérité plus de publicité dans un sujet qui lui serait consacré.

Il y a 2 heures, Jeff777 a dit :

Attention il ne faut pas activer la redirection hrrp vers https dans  : panneau de config/portail de connexion/DSM. Tu t'exposerai à des problèmes si tu veux utiliser le proxy inverse.

Très bonne intervention qui a permis de débusquer le lièvre 🙂 Je crois que 99% des lecteurs du forum, moi y compris, pensent comme toi.

[Jeff777]

il y a 22 minutes, Jeff777 a dit :

et moi aussi sur mon DS218+

J'ai fait un essai en activant la case ça fonctionne, sauf que je ne passe plus par le proxy inverse et donc le port apparait dans l'adresse (en local comme en externe). J'aime moins !

De plus comme l'adresse change avec le port, Bitwarden ne la reconnait plus.

Je vais rester sans cocher.

Modifié le 7 décembre 2021 par Jeff777

[tonejay]

Heuuu du coup je m'y perd un peu là 😄 il ne suffit que de cocher la case dans mon cas ?

[Jeff777]

oui !

[tonejay]

Case cochée, mais lorsque je l'attaque en http, je reste en http 😕

[Jeff777]

Ah oui ça ne fonctionne que pour le DSM. Alors je te conseille d'installer Webstation et un fichier .htaccess comme expliqué dans le tuto du reverse proxy.

Et dans ce cas décoche la case qui ne servira plus à rien.

[Einsteinium]

Après il suffit de ne pas ouvrir le port 80 et seulement le 443, c'est 95% de tentatives d'attaque sur le serveur web en moins 😉

[tonejay]

Ok, je vais tester comme ca...Je suis sous nginx et pas apache...une différence ds la conf ??

 

[Einsteinium]

Il y a 2 heures, Jeff777 a dit :

J'ai fait un essai en activant la case ça fonctionne, sauf que je ne passe plus par le proxy inverse et donc le port apparait dans l'adresse (en local comme en externe). J'aime moins !

Pas compris ce que tu as voulus dire ?

[Jeff777]

il y a une heure, Einsteinium a dit :

Après il suffit de ne pas ouvrir le port 80 et seulement le 443, c'est 95% de tentatives d'attaque sur le serveur web en moins

Ok mais cela oblige les utilisateurs à mettre le https.

 

il y a 28 minutes, Einsteinium a dit :

Pas compris ce que tu as voulus dire ?

Sans cocher la case de redirection pour le DSM mais avec le reverse proxy et la redirection par .htaccess,  dsm.ndd dans la barre d'adresse du navigateur me donne  https://dsm.ndd 

Avec la case cochée cela me donne https://dsm.ndd:portdsm

il y a 49 minutes, tonejay a dit :

Je suis sous nginx et pas apache...une différence ds la conf

Pour l'hôte virtuel je ne sais pas mais si tu as l'intention de pratiquer le proxy inverse il faudra Apache.

Modifié le 7 décembre 2021 par Jeff777

[Einsteinium]

il y a 19 minutes, Jeff777 a dit :

Sans cocher la case de redirection pour le DSM mais avec le reverse proxy et la redirection par .htaccess  j'ai : dsm.ndd dans la barre d'adresse du navigateur j'ai https://dsm.ndd 

Tu as mis le sous domaine juste en dessous ou tu as fait une règle dans le reverse proxy ?

[Jeff777]

Oui pas très clair ce que je disais. J'ai édité. Ce que je voulais dire c'est que la case cochée pour la redirection http vers https du dsm me fait apparaître le port dans la barre d'adresse du navigateur lorsque j'y mets le proxy inverse.

Edit : Ah ce que tu dis c'est qu'en mettant le sous domaine en dessous sans utiliser le proxy inverse ça fonctionne sans montrer le port. C'est ça?

Modifié le 7 décembre 2021 par Jeff777

[Einsteinium]

il y a 19 minutes, Jeff777 a dit :

Oui pas très clair ce que je disais. J'ai édité. Ce que je voulais dire c'est que la case cochée pour la redirection http vers https du dsm me fait apparaître le port dans la barre d'adresse du navigateur lorsque j'y mets le proxy inverse.

Edit : Ah ce que tu dis c'est qu'en mettant le sous domaine en dessous sans utiliser le proxy inverse ça fonctionne sans montrer le port. C'est ça?

Yep

il y a 54 minutes, Jeff777 a dit :

Ok mais cela oblige les utilisateurs à mettre le https.

Les navigateurs tendent vers le https automatiquement désormais, on peut aussi faire le hsts preload aussi.