Aller au contenu

Un point sur les certificats


Mickaël DRJ

Messages recommandés

@CyberFr

Bonjour,

il y a 13 minutes, CyberFr a dit :

J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

OUi cela a été vrai un temps (au début avec la peur du nouveau si je puis dire 🤪) mais surtout parce que justement c'était et c'est forcé (HTTPS) par le navigateur quelque soit le site. Je crois tout au contraire que c'est une bonne chose que de passer systèmatiquement par HTTPS, on évite ainsi les sites "pourris" qui exploitent les failles du HTTP et ce n'est pas pour quelques sites corrects en HTTP dont l'on perd l'accès qui soit vraiment un problème (sur ce point grillé par @Jeff777🤣).  Mais ce n'est que mon avis...

De toutes façons si le HSTS te gêne il suffit de le désactiver dans ton navigateur Web et de vider son cache.

Sinon pour accèder à l'interface DSM via Reverse Proxy il me paraît bien plus sain comme l'a dis @Jeff777 de passer par une URL dédiée (par ex dsm.ndd.tld) que de le faire via ndd.tld tout court car avec le domaine "court" cela laisse faire le mécanisme standard automatique de DSM qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers DSM du NAS (donc vers le port 5000 ou 5001). En plus, cette URL dediée te permet d'utiliser d'autres ports pour DSM (même si accessoirement je trouve que cela ne sert à rien de les changer vu qu'ils nesont pas exposés à l'Internet).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, oracle7 a dit :

[...], on évite ainsi les sites "pourris" qui exploitent les failles du HTTP [...]

Les failles du protocole HTTP sont tout aussi exploitables en HTTPS. La seule différence est qu'en HTTPS les communications sont chiffrées entre le client et le serveur de façon à limiter les attaques de type MITM (possibles malgré tout avec un proxy SSL, mais c'est plus délicat à mettre en oeuvre donc moins courant car plus ciblé).

Lien vers le commentaire
Partager sur d’autres sites

Je viens de me rendre compte que plus haut j'ai parlé de zone locale. Je confirme que ce n'est pas ma zone locale qui me permet d'accéder localement au DSM mais bien le reverse proxy dsm.ndd et le loopback. Dans ma zone locale j'ai une entrée nas1.ndd qui pointe vers l'IP locale du nas et qui me sert pour les connexions à celui-ci (synchro Drive, déploiement certificats etc..).

Avant j'avais mis dans la zone locale la même url que le reverse proxy du DSM et j'avais des soucis, mais sur les conseils de @.Shad. j'ai corrigé et plus de pb.

Donc :

1/reverse proxy  dsm.ndd:443 ==> iplocalenas:5000

2/zone locale                 nas.ndd  A  Iplocalenas  

on peut ajouter une zone locale inverse qui fait pointer iplocalenas vers nas.ndd  et faire la même chose en IPV6 avec éventuellement une url distincte . Comme cela au lieu de voir des IP locales on voit le nom du périphérique (dans pihole par exemple)

Je m'expose à des commentaires de @Kramlech 😉

il y a 36 minutes, PiwiLAbruti a dit :

à limiter les attaques de type MITM

Les attaques "man in the middle" c'est le HSTS qui les bloque pas le HTTPS non ? 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

De toutes façons si le HSTS te gêne il suffit de le désactiver dans ton navigateur Web et de vider son cache.

C'est ce que j'ai fait depuis un certain temps dans la mesure où je ne souhaitais pas activer le HSTS.

il y a une heure, oracle7 a dit :

Sinon pour accèder à l'interface DSM via Reverse Proxy il me paraît bien plus sain comme l'a dis @Jeff777 de passer par une URL dédiée (par ex dsm.ndd.tld) que de le faire via ndd.tld tout court car avec le domaine "court" cela laisse faire le mécanisme standard automatique de DSM qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers DSM du NAS (donc vers le port 5000 ou 5001)

Dans mon exemple ndd.fr ne désigne pas un reverse proxy mais je dispose par ailleurs d'un reverse proxy pour accéder à DSM en HTTPS. De plus Web Station est installé, ainsi il suffit de taper ndd.fr pour accéder au site Web en HTTPS.

il y a 4 minutes, PiwiLAbruti a dit :

Oui, c'est bien ça.

Bon, je vais m'intéresser au HSTS. C'est quoi au juste le preload ?

il y a une heure, PiwiLAbruti a dit :

Les failles du protocole HTTP sont tout aussi exploitables en HTTPS. La seule différence est qu'en HTTPS les communications sont chiffrées entre le client et le serveur de façon à limiter les attaques de type MITM (possibles malgré tout avec un proxy SSL, mais c'est plus délicat à mettre en oeuvre donc moins courant car plus ciblé).

Vu le contexte géopolitique ça va devenir plus courant 🤢

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, CyberFr a dit :

Bon, je vais m'intéresser au HSTS. C'est quoi au juste le preload ?

Il y a un fil sur le forum qui traite de cela. 

Sinon sur le net :

HSTS (HTTP Strict Transport Security) est un entête de réponse qui demande au navigateur de toujours utiliser SSL/TLS pour communiquer avec votre site. Qu’importe si l’utilisateur ou le lien qu’il clique spécifie HTTP, HSTS forcera l’usage d’HTTPS. Toutefois, cela laisse l’utilisateur vulnérable lors de sa toute première connexion à un site. L’HSTS preloading corrige donc cela.

L’HSTS preloading :

Il existe une liste qui permet d’inclure un domaine dans la liste HTTP Strict Transport Security preload de Chrome. Il s’agit d’une liste de sites qui sont codés en dur dans Chrome comme étant uniquement servis en HTTPS. Firefox, Safari, IE 11 and Edge ont également des listes HSTS preload qui incluent la liste de Chrome.

Pour cette raison il est important que notre domaine soit inscrit sur la liste preload.

 

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai rien fait dans le paramétrage navigateur. Je n'utilise pas Firefox mais dans les tests https://www.ssllabs.com/ssltest j'obtiens :

 

Strict Transport Security (HSTS) Yes
max-age=63072000; includeSubDomains; preload
HSTS Preloading

Chrome  Edge  Firefox  IE   

 

Pour mettre en oeuvre le HSTS il faut cocher la case HSTS dans toutes tes entrées du reverse proxy ainsi que dans les config virtual host, et ajouter la ligne suivante au fichier .htaccess :

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS

puis remplir la demande  : https://hstspreload.org/

L'inscription de ton domaine dans les listes peuvent prendre plusieurs jours.

 

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

il y a une heure, CyberFr a dit :

Dans Firefox j'ai juste une préférence "Activer le mode HTTPS". Il n'est pas fait mention de HSTS.

Oui cela ne parle pas de HSTS mais c'est bien cela qui l'active au niveau navigateur FF.

Ensuite pour le NAS, tu suis ce qu'a donné @Jeff777 précemment et tout roule. Sinon un peu de lecture sur le HSTS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Je crains que tu ne mélanges les choses.

Le renouvellement de certificat LE ne passe pas par un navigateur Web donc pas d'interférence avec le HSTS qui oblige à utiliser des URL en HTTPS.

Pour le renouvellement du certificat LE, il te suffit juste que les ports 80 et 443 soient transférés (NAT) de la box vers le NAS et qu'ils soient ouverts/autorisés dans le par-feu du NAS. Ni plus ni moins. Attention à ne pas limiter géographiquement ces ports à la France car les serveurs LE sont aux USA !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

il y a 28 minutes, oracle7 a dit :

Je crains que tu ne mélanges les choses.

Le renouvellement de certificat LE ne passe pas par un navigateur Web donc pas d'interférence avec le HSTS qui oblige à utiliser des URL en HTTPS.

Mais lorsque j'active le HSTS, l'accès à l'interface de DSM se fait en HTTPS et non en HTTP sur le port 80.

Lien vers le commentaire
Partager sur d’autres sites

Le port 80 est utilisé pour mettre à jour les certificats, mais le faite d’utiliser l’option HSTS ne va pas modifié ta demande de certificats vers le port 443, cela interagit seulement sur le navigateur.

Pour une fois, moi j’ai bien compris , je suis peut-être pas un cas, si désespéré que cela.


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

@oracle7, @Jeff777, n'hésitez pas à vous payer ma tête surtout ! Vos éclats de rire adressés à @Mickaël DRJ en sont l'illustration.

Il y a 1 heure, Mickaël DRJ a dit :

Pour une fois, moi j’ai bien compris emoji1787.png, je suis peut-être pas un cas, si désespéré que cela.

Et il enfonce le clou en plus. Bravo pour tes progrès Mickaël DRJ, Tu bosses et tu avances, félicitations 👍

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.