CoolRaoul Posté(e) le 24 avril Partager Posté(e) le 24 avril Bonjour, Je m'aperçois que le certificat associé au domaine DDNS fourni par Synology a sa date d'expiration de couleur orange: Qui saurait me dire ce que cela signifie ? (peut-être aussi que c'était déjà le cas que je n'avais pas remarqué ? ) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 24 avril Partager Posté(e) le 24 avril Tiens, tu utilises une interface en anglais ? 😉 C'est pour te signaler qu'il reste moins de 30 jours de validité avant expiration. S'agissant d'un certificat Synology Let's Encrypt (quoi que ce soit la première fois que je vois un myds.me), il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement. Edit : comme la date est proche, il se peut qu'il soit renouvelé dans les prochaines heures. Attends un peu avant d'agir. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 24 avril Partager Posté(e) le 24 avril Le certificat est valide jusqu'à expiration, il faudra juste vérifier qu'il est bien renouvelé avant l'expiration (la veille par exemple). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 24 avril Auteur Partager Posté(e) le 24 avril il y a 34 minutes, Mic13710 a dit : il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Je vais tenter le renouvellement manuel il y a 35 minutes, Mic13710 a dit : Tiens, tu utilises une interface en anglais je prefere. En cas de besoin de chercher des explications à un message ou un libellé sur internet ça me ramène beaucoup plus de réponses 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 24 avril Partager Posté(e) le 24 avril (modifié) Il y a 6 heures, CoolRaoul a dit : en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Bonjour, j'avais lu quelque part que le port 80 n'était plus nécessaire pour le renouvellement LE. J'ai trouvé ceci: https://community.letsencrypt.org/t/is-port-80-required-for-renewals/121432 Modifié le 24 avril par cadkey 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 24 avril Partager Posté(e) le 24 avril Si la méthode HTTP-01 est utilisée, le port tcp/80 doit impérativement être ouvert, tout comme le port tcp/443 avec la méthode TLS-ALPN-01. Seule la méthode DNS-01 ne nécessite aucune ouverture de port (mais un accès à la zone DNS pour automatiser la validation). https://letsencrypt.org/docs/challenge-types/ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 24 avril Partager Posté(e) le 24 avril @PiwiLAbruti, je ne comprends pas la différence entre les deux premières méthodes. Il n'y a qu'une façon dans les options DSM pour créer un certificat LE. Je me trompe? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 24 avril Partager Posté(e) le 24 avril Oui, DSM ne propose que la méthode HTTP-01 (HTTP sur le port tcp/80). La méthode TLS-ALPN-01 fonctionne de la même manière mais avec une connexion chiffrée (HTTPS sur le port tcp/443). La méthode DNS-01 utilise des clés stockées dans des enregistrements DNS de type TXT. Il faut disposer d'un nom de domaine pour pouvoir l'utiliser. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 24 avril Partager Posté(e) le 24 avril Ok, donc avec DSM si je ferme le port 80, le renouvellement ne peut pas se faire? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 25 avril Partager Posté(e) le 25 avril Oui, c'est ça. Dans les débuts de Let's Encrypt, il y avait deux adresses IP facilement identifiables qui se connectaient au NAS pour valider les certificats. Il suffisait alors de n'ouvrir le port tcp/80 que pour ces deux adresses IP dans le pare-feu du NAS. Aujourd'hui, ce n'est plus possible et Let's Encrypt tente même de rassurer ses utilisateurs. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 26 avril Auteur Partager Posté(e) le 26 avril (modifié) Le 25/04/2024 à 9:49 AM, PiwiLAbruti a dit : Let's Encrypt tente même de rassurer ses utilisateurs. Je ne vois rien de choquant dans leurs arguments. Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité. Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair. Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web. Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https : Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct. J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats Modifié le 26 avril par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 17 juin Partager Posté(e) le 17 juin Si je lis la Doc Synology, pour renouveler un certificat let's encrypt sur un NAS Synology utilisant un nom de domaine synology.me, il est indiqué qu'il n'est pas nécessaire d'ouvrir le port 80 depuis DSM 6.2 et 7. Voir remarques 6 et 7 du lien ci-dessous: https://kb.synology.com/fr-fr/DSM/tutorial/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 juin Auteur Partager Posté(e) le 17 juin il y a 33 minutes, cadkey a dit : Voir remarques 6 et 7 du lien ci-dessous Je n'ai pas compris la remarque 7 mais la 6 stipule le contraire il me semble : "Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS." 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kramlech Posté(e) le 17 juin Partager Posté(e) le 17 juin Remarque 6 : "Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS." Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80. Par contre si on utilise un domaine "standard" (fourni par OVH par exemple), il faut bien ouvrir le port 80 ... Remarque 7 : "Synology DDNS prend en charge DNS-01 (à partir de DSM 6.0) et la validation HTTP-01 avec Let's Encrypt. Le domaine personnalisé ne prend en charge que la validation HTTP-01 avec Let's Encrypt. Reportez-vous à cet article pour plus d'informations sur les méthodes de validation. " Ceci explique pourquoi on n'a pas besoin d'ouvrir le port 80 en cas de DDNS Synology (validation DNS-01). C'est ce que fait l'utilisation de la méthode acme.sh (qui permet entre autre de générer des certificat wilcard), ce qui permet de s'affranchir de l'ouverture du port 80. Mais cette méthode est un peu plus lourde à mettre en oeuvre (voir les tutos associés ...) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 juin Auteur Partager Posté(e) le 17 juin Il y a 1 heure, Kramlech a dit : Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80. Ah en effet (et je le savait en plus) et j'ai zappé que @cadkey avait mentionné ce point important de contexte que c'est relatif uniquement aux certificats des noms fournis par le DDNS Synology. Mais le principal point de mon post était que je ne vois pas de risque supplémentaires face à des attaques externes à ouvrir le port 80 du moment que le port 443 est aussi (sous réserve de démonstration via un cas d'école). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.