Date d'expiration certificat SSL de couleur orange: signification?

[CoolRaoul]

Bonjour,

Je m'aperçois que le certificat associé au domaine DDNS fourni par Synology a sa date d'expiration de couleur orange:

Qui saurait me dire ce que cela signifie ? (peut-être aussi que c'était déjà le cas que je n'avais pas remarqué ? ) 

[Mic13710]

Tiens, tu utilises une interface en anglais ? 😉

C'est pour te signaler qu'il reste moins de 30 jours de validité avant expiration. S'agissant d'un certificat Synology Let's Encrypt (quoi que ce soit la première fois que je vois un myds.me), il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement.

Edit : comme la date est proche, il se peut qu'il soit renouvelé dans les prochaines heures. Attends un peu avant d'agir.

[PiwiLAbruti]

Le certificat est valide jusqu'à expiration, il faudra juste vérifier qu'il est bien renouvelé avant l'expiration (la veille par exemple).

[CoolRaoul]

il y a 34 minutes, Mic13710 a dit :

il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Je vais tenter le renouvellement manuel

 

il y a 35 minutes, Mic13710 a dit :

Tiens, tu utilises une interface en anglais

je prefere. En cas de besoin de chercher des explications à un message ou un libellé sur internet ça me ramène beaucoup plus de réponses

 

[cadkey]

Il y a 6 heures, CoolRaoul a dit :

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE.

Bonjour, j'avais lu quelque part que le port 80 n'était plus nécessaire pour le renouvellement LE.

J'ai trouvé ceci: https://community.letsencrypt.org/t/is-port-80-required-for-renewals/121432

Modifié le 24 avril par cadkey

[PiwiLAbruti]

Si la méthode HTTP-01 est utilisée, le port tcp/80 doit impérativement être ouvert, tout comme le port tcp/443 avec la méthode TLS-ALPN-01.

Seule la méthode DNS-01 ne nécessite aucune ouverture de port (mais un accès à la zone DNS pour automatiser la validation).

https://letsencrypt.org/docs/challenge-types/

[cadkey]

@PiwiLAbruti, je ne comprends pas la différence entre les deux premières méthodes. Il n'y a qu'une façon dans les options DSM pour créer un certificat LE. Je me trompe?

[PiwiLAbruti]

Oui, DSM ne propose que la méthode HTTP-01 (HTTP sur le port tcp/80).

La méthode TLS-ALPN-01 fonctionne de la même manière mais avec une connexion chiffrée (HTTPS sur le port tcp/443).

La méthode DNS-01 utilise des clés stockées dans des enregistrements DNS de type TXT. Il faut disposer d'un nom de domaine pour pouvoir l'utiliser.

[cadkey]

Ok, donc avec DSM si je ferme le port 80, le renouvellement ne peut pas se faire?

[PiwiLAbruti]

Oui, c'est ça.

Dans les débuts de Let's Encrypt, il y avait deux adresses IP facilement identifiables qui se connectaient au NAS pour valider les certificats. Il suffisait alors de n'ouvrir le port tcp/80 que pour ces deux adresses IP dans le pare-feu du NAS.

Aujourd'hui, ce n'est plus possible et Let's Encrypt tente même de rassurer ses utilisateurs.

[CoolRaoul]

Le 25/04/2024 à 9:49 AM, PiwiLAbruti a dit :

Let's Encrypt tente même de rassurer ses utilisateurs.

Je ne vois rien de choquant dans leurs arguments.
Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité.
Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair.

Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web.
Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https :

Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct.
J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur  WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats

Modifié le 26 avril par CoolRaoul

[cadkey]

Si je lis la Doc Synology, pour renouveler un certificat let's encrypt sur un NAS Synology utilisant un nom de domaine synology.me, il est indiqué qu'il n'est pas nécessaire d'ouvrir le port 80 depuis DSM 6.2 et 7.

Voir remarques 6 et 7 du lien ci-dessous:

https://kb.synology.com/fr-fr/DSM/tutorial/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS

[CoolRaoul]

il y a 33 minutes, cadkey a dit :

Voir remarques 6 et 7 du lien ci-dessous

Je n'ai pas compris la remarque 7 mais la 6 stipule le contraire il me semble :

"Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS."

[Kramlech]

Remarque 6 :

"Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS."

Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80. Par contre si on utilise un domaine "standard" (fourni par OVH par exemple), il faut bien ouvrir le port 80 ...

Remarque 7 :

"Synology DDNS prend en charge DNS-01 (à partir de DSM 6.0) et la validation HTTP-01 avec Let's Encrypt. Le domaine personnalisé ne prend en charge que la validation HTTP-01 avec Let's Encrypt. Reportez-vous à cet article pour plus d'informations sur les méthodes de validation. "

Ceci explique pourquoi on n'a pas besoin d'ouvrir le port 80 en cas de DDNS Synology (validation DNS-01). C'est ce que fait l'utilisation de la méthode acme.sh (qui permet entre autre de générer des certificat wilcard), ce qui permet de s'affranchir de l'ouverture du port 80. Mais cette méthode est un peu plus lourde à mettre en oeuvre (voir les tutos associés ...)

[CoolRaoul]

Il y a 1 heure, Kramlech a dit :

Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80.

Ah en effet (et je le savait en plus) et j'ai zappé que @cadkey avait mentionné ce point important de contexte que c'est relatif uniquement aux certificats des noms fournis par le DDNS Synology. 

Mais le principal point de mon post était que je ne vois pas de risque supplémentaires face à des attaques externes à ouvrir le port 80 du moment que le port 443 est aussi (sous réserve de démonstration via un cas d'école).