Aller au contenu

Date d'expiration certificat SSL de couleur orange: signification?


Messages recommandés

Bonjour,

Je m'aperçois que le certificat associé au domaine DDNS fourni par Synology a sa date d'expiration de couleur orange:

image.png.b9c610d78463f37df59aba4afdb6b7fc.png

Qui saurait me dire ce que cela signifie ? (peut-être aussi que c'était déjà le cas que je n'avais pas remarqué ? ) 

Lien vers le commentaire
Partager sur d’autres sites

Tiens, tu utilises une interface en anglais ? 😉

C'est pour te signaler qu'il reste moins de 30 jours de validité avant expiration. S'agissant d'un certificat Synology Let's Encrypt (quoi que ce soit la première fois que je vois un myds.me), il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement.

Edit : comme la date est proche, il se peut qu'il soit renouvelé dans les prochaines heures. Attends un peu avant d'agir.

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, Mic13710 a dit :

il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Je vais tenter le renouvellement manuel

 

il y a 35 minutes, Mic13710 a dit :

Tiens, tu utilises une interface en anglais

je prefere. En cas de besoin de chercher des explications à un message ou un libellé sur internet ça me ramène beaucoup plus de réponses

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, CoolRaoul a dit :

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE.

Bonjour, j'avais lu quelque part que le port 80 n'était plus nécessaire pour le renouvellement LE.

J'ai trouvé ceci: https://community.letsencrypt.org/t/is-port-80-required-for-renewals/121432

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

Si la méthode HTTP-01 est utilisée, le port tcp/80 doit impérativement être ouvert, tout comme le port tcp/443 avec la méthode TLS-ALPN-01.

Seule la méthode DNS-01 ne nécessite aucune ouverture de port (mais un accès à la zone DNS pour automatiser la validation).

https://letsencrypt.org/docs/challenge-types/

Lien vers le commentaire
Partager sur d’autres sites

Oui, DSM ne propose que la méthode HTTP-01 (HTTP sur le port tcp/80).

La méthode TLS-ALPN-01 fonctionne de la même manière mais avec une connexion chiffrée (HTTPS sur le port tcp/443).

La méthode DNS-01 utilise des clés stockées dans des enregistrements DNS de type TXT. Il faut disposer d'un nom de domaine pour pouvoir l'utiliser.

Lien vers le commentaire
Partager sur d’autres sites

Oui, c'est ça.

Dans les débuts de Let's Encrypt, il y avait deux adresses IP facilement identifiables qui se connectaient au NAS pour valider les certificats. Il suffisait alors de n'ouvrir le port tcp/80 que pour ces deux adresses IP dans le pare-feu du NAS.

Aujourd'hui, ce n'est plus possible et Let's Encrypt tente même de rassurer ses utilisateurs.

Lien vers le commentaire
Partager sur d’autres sites

Le 25/04/2024 à 9:49 AM, PiwiLAbruti a dit :

Let's Encrypt tente même de rassurer ses utilisateurs.

Je ne vois rien de choquant dans leurs arguments.
Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité.
Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair.

Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web.
Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https :

image.png.0edfbb88cb3e6e3b95751b254e5ed78d.png

Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct.
J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur  WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Si je lis la Doc Synology, pour renouveler un certificat let's encrypt sur un NAS Synology utilisant un nom de domaine synology.me, il est indiqué qu'il n'est pas nécessaire d'ouvrir le port 80 depuis DSM 6.2 et 7.

Voir remarques 6 et 7 du lien ci-dessous:

https://kb.synology.com/fr-fr/DSM/tutorial/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS

Lien vers le commentaire
Partager sur d’autres sites

il y a 33 minutes, cadkey a dit :

Voir remarques 6 et 7 du lien ci-dessous

Je n'ai pas compris la remarque 7 mais la 6 stipule le contraire il me semble :

"Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS."

Lien vers le commentaire
Partager sur d’autres sites

Remarque 6 :

"Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS."

Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80. Par contre si on utilise un domaine "standard" (fourni par OVH par exemple), il faut bien ouvrir le port 80 ...

Remarque 7 :

"Synology DDNS prend en charge DNS-01 (à partir de DSM 6.0) et la validation HTTP-01 avec Let's Encrypt. Le domaine personnalisé ne prend en charge que la validation HTTP-01 avec Let's Encrypt. Reportez-vous à cet article pour plus d'informations sur les méthodes de validation. "

Ceci explique pourquoi on n'a pas besoin d'ouvrir le port 80 en cas de DDNS Synology (validation DNS-01). C'est ce que fait l'utilisation de la méthode acme.sh (qui permet entre autre de générer des certificat wilcard), ce qui permet de s'affranchir de l'ouverture du port 80. Mais cette méthode est un peu plus lourde à mettre en oeuvre (voir les tutos associés ...)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Kramlech a dit :

Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80.

Ah en effet (et je le savait en plus) et j'ai zappé que @cadkey avait mentionné ce point important de contexte que c'est relatif uniquement aux certificats des noms fournis par le DDNS Synology. 

Mais le principal point de mon post était que je ne vois pas de risque supplémentaires face à des attaques externes à ouvrir le port 80 du moment que le port 443 est aussi (sous réserve de démonstration via un cas d'école).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.