certificat pour site web

Venez poser ici vos questions de réseaux, partage de connexion, firewall, cablage et cie ....

Modérateur: Barbapapa

certificat pour site web

Message par Morpheus » 21 Août 2017 11:27

Bonjour,

J'aimerai comprendre a quoi sert un certificat pour sites web, comme pour l'accès a on NAS.
J'en avais pris un chez startSSL, qui va expirer, synology me propose maintenant d'enprendre un chez Let's Encrypt ...

Mais ce certificat, a quoi sert-il, car je comprend qu'il en va de la securite des donnees, mais un pirate qui construit un site de pishing pourrait lui aussi demander un certificat pour son site piraté ...
Comment un Certificat me protège-t-il ou protège-t-il celui qui l'accède ?

est-ce pour http ou aussi pour les sites en https ? (ou seulement pur eux ...) ?

mercu !!
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par mackguil » 21 Août 2017 11:45

https et un certificat est unique.
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: certificat pour site web

Message par Morpheus » 21 Août 2017 15:29

Je viens de faire une demande pour un certificat chez StartSSL, mais il sembe qu'ils aient des problèmes sur certaines platformes :

Certificates issued after 21.10.2016 are distrusted in Chrome 56, Firefox and Safari browsers. Chrome 57+ distrust most of still valid certificates.
Official document about distrust > https://blog.mozilla.org/security/2016/ ... tificates/
We are working hard on remediation plan (https://bugzilla.mozilla.org/show_bug.cgi?id=1311832), and we are doing everything to regain trust ASAP.

At the moment we have an interim solution only for Class 3 OV and Class 4 EV certificates.
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par carabao » 23 Août 2017 04:12

Bonjour,

Chez Let's Encryp, certificat gratuit mais avec une validité de 3 mois renouvelable. Certains hébergeurs fonctionnant sous l’interface de gestion cpanel, proposent un renouvellent automatique du certificat quelques jours avant l’expiration de ce dernier.

Let's Encryp est reconnu par la plupart des navigateurs , tels que chrome, firefox.
Fritz!Box 7530ax int, FW 07.57 - VDSLB2pv6L046k.d28a ~ Annexe B ~ ligne vectorisée ~ sync 100/30 (zone 1)
Sauvegarde du manuel, FW et recovery FW du modem Fritz 7490, WLAN 1750e, Fritz 7530ax, WLAN 1200ax: https://drive.google.com/drive/folders/ ... drive_link

Historique
VDSL .........>2019: edpnet (profil de base: 100 - 30) + VOIP OVH - 2017: edpnet (profil de base: 70 - 30) + VOIP OVH
ADSL2+ ....>2012: belcenter (15 - 0,740) + raw copper - 2009: belcenter (15 - 0,740)
ADSL..........>2008: belcenter (6 - 0,640) - 2005: mobistar (4,1 - 0,386) - 2004: scarlet (3,3 - 0,128) - 2003: tiscali (3,3 - 0,128) - 2001: wanadoo (3,3 - 0,128)
V90............>2000: infonie (forfait) - 1999: Uunet
-----------------------------------------------------
Site dédié à la caravane & au camping: http://www.caravane-camping.be
Avatar de l’utilisateur
carabao
Acharné
Acharné
 
Message(s) : 1178
Inscription : 07 Déc 2001 01:00
Localisation : Europe, Wallonie

Re: certificat pour site web

Message par Morpheus » 23 Août 2017 09:17

oui mais il faut ouvrir le port 80 selon synology pour le renouvellement du certificat ... ils disent le port 80 du routeur et du syno ... mais on ne peut quand meme pas ouvrir le port 80 externe allant sur 2 machines différentes !!??
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par NuxPowa » 23 Août 2017 10:58

Let's encrypt est très utilisé sous linux, sous server, il s'installe très facilement et permet d'avoir des certificats gratuits qui doivent être renouvelés tout les trois mois, (automatiquement sous un script evidemment) associé à un nom de domaine.
Morpheus: pour expliquer brièvement ton histoire de port 80: ce n'est pas uniquement utilisé par un "site web", le port peut-être utilisé par un script (ici, un script utilisé par synology) pour vérifier que le certificat est bien associé à un nom de domaine/ip

Donc: ton port 80 de ton routeur est disponible mais inutilisé par ton routeur, mais let's encrypt à besoin de script Synology, donc, de façon très simple:

(Sauf s'il y a un firewall qu bloque le port 80 sur le routeur, il faut l'ouvrir via ton interface, j'imagine qu'il s'agit d'un "modem/routeur") et redirection (NAT) vers l'ip fixe de ton Synology.

Pas plus compliqué.

Beaucoup de blabla pour: (schéma)

IP externe--> modem/routeur (ip LAN, 192.168.1.1 port 80) --> redirection vers (192.168.1.2 port 80 synology)

Pas plus compliqué que ça.
Roma non uno die aedificata est.
"Look after the pennies and the pounds will look after themselves"
vî trigu : sacwè ki n' sieve pu.
Avatar de l’utilisateur
NuxPowa
Acharné
Acharné
 
Message(s) : 4108
Inscription : 17 Jan 2004 16:12
Localisation : Condroz

Re: certificat pour site web

Message par Morpheus » 23 Août 2017 11:09

ok ... donc j'ouvre juste le port 80 du NAS a partir de l'interface de la BBOX -> Access control -> Port mapping, comme ceci

TCP 80 80 80 192.168.1.2

c'est ca ?
Donc c'est le port du NAS qu'on ouvre, pas le port 80 du routeur ...
Pas dangereux ?
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par NuxPowa » 23 Août 2017 12:25

Morpheus a écrit :ok ... donc j'ouvre juste le port 80 du NAS a partir de l'interface de la BBOX -> Access control -> Port mapping, comme ceci

TCP 80 80 80 192.168.1.2

c'est ca ?
Donc c'est le port du NAS qu'on ouvre, pas le port 80 du routeur ...
Pas dangereux ?


Tu as enfin compris, extra :-)

Cette grande phrase (compliquée) pour dire tout simplement qu'il te faut ouvrir le port 80 de ton NAS, oui ;-)

Nullement dangereux à partir du moment où le port 80 du NAS est protégé

Ce n'est pas comme si tu ouvrais le port 80 sur un pc qui tourne sous windows 95 ;-)

Edit: sur base que l'ip 192.168.1.2 est l'ip du NAS evidemment!
Roma non uno die aedificata est.
"Look after the pennies and the pounds will look after themselves"
vî trigu : sacwè ki n' sieve pu.
Avatar de l’utilisateur
NuxPowa
Acharné
Acharné
 
Message(s) : 4108
Inscription : 17 Jan 2004 16:12
Localisation : Condroz

Re: certificat pour site web

Message par mackguil » 23 Août 2017 12:33

Morpheus a écrit :Pas dangereux ?


Le temps de la vérification et lors du renouvellement suffit, après tu peux le refermer.
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: certificat pour site web

Message par Morpheus » 23 Août 2017 12:49

Je vais pas m'amuser a ouvrircet fermer tous les 3 mois !
Je suppose qu'il y a une autre solution ...

P.s tu parles de "proteger" le port 80 ?
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par NuxPowa » 23 Août 2017 15:13

Mackguil: j'y pensais aussi, vu qu'il ne suffit que l'execution du script pour la vérification/renouvellement tout les trois mois, quelques "secondes".
Mais bon, une chose à la fois, déjà lui expliquer ce qu'est le "NAT" et comment l'utiliser est enfin fait, autant ne pas aller plus loin.

Morpheus: "proteger" le port 80 du Synology, oui. Ceci dit, j'imagine que ce "script" est déjà protégé.

Si vraiment tu veux l'ouvrir et le fermer automatiquement, il y a surement des solutions dans notre ami "googel" avec "synology let's encrypt port 80 ouverture fermeture" ;-)
Roma non uno die aedificata est.
"Look after the pennies and the pounds will look after themselves"
vî trigu : sacwè ki n' sieve pu.
Avatar de l’utilisateur
NuxPowa
Acharné
Acharné
 
Message(s) : 4108
Inscription : 17 Jan 2004 16:12
Localisation : Condroz

Re: certificat pour site web

Message par mackguil » 23 Août 2017 15:19

Morpheus a écrit :Je vais pas m'amuser a ouvrircet fermer tous les 3 mois !
Je suppose qu'il y a une autre solution ...


Scripter une ligne qui ouvre et referme le port via upnp , lancer la commande d'update via la commande ad-hoc puis placer le tout dans un ordonnanceur au date de renouvellement.
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: certificat pour site web

Message par Morpheus » 23 Août 2017 15:21

Merci Mackguil a chaque fois que tu ecris un message j'ai l'impression que c pour le pnaisir de poster lol.
Ca me donne mal de tete a chaque fois
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par mackguil » 23 Août 2017 15:26

Morpheus a écrit :Merci Mackguil a chaque fois que tu ecris un message j'ai l'impression que c pour le pnaisir de poster lol.
Ca me donne mal de tete a chaque fois


Je réponds à la question et te donnes une solution qu'est ce qui ne te vas pas ?
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: certificat pour site web

Message par NuxPowa » 23 Août 2017 15:31

Pour répondre simplement: plutot que d'avoir le script qui se lance automatiquement, tu peux le faire manuellement (endeans un mois avant l'expiration) via SSH sur ton synology simpelemnt en tapant:
/usr/syno/sbin/syno-letsencrypt renew-all -v


Le script se lance, relance le certificat durant trois mois et après tu referme ton port 80

J'ai bien compris que tu ne veux pas ouvrir et fermer qqs secondes le port 80 tout les trois mois, mais le port 80 est une vraie passwoire et beaucoup de hackers scannent le dit port 80 evidemment, ce qui peux (eventuellement) bloquer carrement ton Syn.

L'explication complete (in english) ici

Comme ça tu auras deux fois plus mal à la tête ;-)
Roma non uno die aedificata est.
"Look after the pennies and the pounds will look after themselves"
vî trigu : sacwè ki n' sieve pu.
Avatar de l’utilisateur
NuxPowa
Acharné
Acharné
 
Message(s) : 4108
Inscription : 17 Jan 2004 16:12
Localisation : Condroz

Re: certificat pour site web

Message par Morpheus » 23 Août 2017 15:39

ca c'est une réponse ;-)
J'avais déjà lu cela sur internet après avoir cherche un peu ...
On peut effectivement mettre cette commande dans un "cron" sur le NAS, mais ce n'est pas cela le problème (c'est la partie facile).

Le problème c'est l'ouverture et a fermeture du port 80 a chaque fois .... et c'est facile de dire qu'il faut "scripter" cette ouverture / fermeture mais il s'agit ici de la BBOX ... !
Je ne pense pas que ce soit si facile que cela.
Mackguil, ne te sens pas obligé de me répondre STP ... tu n'es vraiment pas une référence pour moi !
Morpheus
Acharné
Acharné
 
Message(s) : 2973
Inscription : 11 Jan 2006 12:15

Re: certificat pour site web

Message par NuxPowa » 23 Août 2017 15:57

Franchement, il ne faut pas avoir fait l'université pour ouvrir et fermer un port une fois tout les trois mois, peut-être 15 secondes...
Autrement dit: c'est minime en temps comparé au temps perdu pour essayer de pondre/trouver un script/cron pour ouvrir et fermer ce port 5 secondes tout les trois mois (sur une bbox!) ;-)

Achètes toi une fritbox alors (à la place de ta bbox), peut-être alors qu'elle peut l'ouvrir et fermer (aussi à verifier) :-)
Dernière édition par NuxPowa le 23 Août 2017 15:59, édité 1 fois.
Roma non uno die aedificata est.
"Look after the pennies and the pounds will look after themselves"
vî trigu : sacwè ki n' sieve pu.
Avatar de l’utilisateur
NuxPowa
Acharné
Acharné
 
Message(s) : 4108
Inscription : 17 Jan 2004 16:12
Localisation : Condroz

Re: certificat pour site web

Message par mackguil » 23 Août 2017 15:57

Morpheus a écrit :ca c'est une réponse ;-)
J'avais déjà lu cela sur internet après avoir cherche un peu ...
On peut effectivement mettre cette commande dans un "cron" sur le NAS, mais ce n'est pas cela le problème (c'est la partie facile).

Le problème c'est l'ouverture et a fermeture du port 80 a chaque fois .... et c'est facile de dire qu'il faut "scripter" cette ouverture / fermeture mais il s'agit ici de la BBOX ... !
Je ne pense pas que ce soit si facile que cela.


Je vais te donner une piste vu que tu es monté sur tes grands chevaux, tu n'as qu'à chercher par toi même , configuration du routeur via et le gui du syno puis ssh sur celui-ci et scripter la ligne en question en la plaçant dans l’ordonnanceur comme tu as l'air de l'avoir compris.

Amuse toi bien. :lol:
Avatar de l’utilisateur
mackguil
Vingt mille
Vingt mille
 
Message(s) : 21326
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium


Retour vers Discussion réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit