ADSL-BC

Bonjour,

J'aimerai comprendre a quoi sert un certificat pour sites web, comme pour l'accès a on NAS.
J'en avais pris un chez startSSL, qui va expirer, synology me propose maintenant d'enprendre un chez Let's Encrypt ...

Mais ce certificat, a quoi sert-il, car je comprend qu'il en va de la securite des donnees, mais un pirate qui construit un site de pishing pourrait lui aussi demander un certificat pour son site piraté ...
Comment un Certificat me protège-t-il ou protège-t-il celui qui l'accède ?

est-ce pour http ou aussi pour les sites en https ? (ou seulement pur eux ...) ?

mercu !!

https et un certificat est unique.

Je viens de faire une demande pour un certificat chez StartSSL, mais il sembe qu'ils aient des problèmes sur certaines platformes :

Certificates issued after 21.10.2016 are distrusted in Chrome 56, Firefox and Safari browsers. Chrome 57+ distrust most of still valid certificates.
Official document about distrust > https://blog.mozilla.org/security/2016/ ... tificates/
We are working hard on remediation plan (https://bugzilla.mozilla.org/show_bug.cgi?id=1311832), and we are doing everything to regain trust ASAP.

At the moment we have an interim solution only for Class 3 OV and Class 4 EV certificates.

Bonjour,

Chez Let's Encryp, certificat gratuit mais avec une validité de 3 mois renouvelable. Certains hébergeurs fonctionnant sous l’interface de gestion cpanel, proposent un renouvellent automatique du certificat quelques jours avant l’expiration de ce dernier.

Let's Encryp est reconnu par la plupart des navigateurs , tels que chrome, firefox.

oui mais il faut ouvrir le port 80 selon synology pour le renouvellement du certificat ... ils disent le port 80 du routeur et du syno ... mais on ne peut quand meme pas ouvrir le port 80 externe allant sur 2 machines différentes !!??

Let's encrypt est très utilisé sous linux, sous server, il s'installe très facilement et permet d'avoir des certificats gratuits qui doivent être renouvelés tout les trois mois, (automatiquement sous un script evidemment) associé à un nom de domaine.
Morpheus: pour expliquer brièvement ton histoire de port 80: ce n'est pas uniquement utilisé par un "site web", le port peut-être utilisé par un script (ici, un script utilisé par synology) pour vérifier que le certificat est bien associé à un nom de domaine/ip

Donc: ton port 80 de ton routeur est disponible mais inutilisé par ton routeur, mais let's encrypt à besoin de script Synology, donc, de façon très simple:

(Sauf s'il y a un firewall qu bloque le port 80 sur le routeur, il faut l'ouvrir via ton interface, j'imagine qu'il s'agit d'un "modem/routeur") et redirection (NAT) vers l'ip fixe de ton Synology.

Pas plus compliqué.

Beaucoup de blabla pour: (schéma)

IP externe--> modem/routeur (ip LAN, 192.168.1.1 port 80) --> redirection vers (192.168.1.2 port 80 synology)

Pas plus compliqué que ça.

ok ... donc j'ouvre juste le port 80 du NAS a partir de l'interface de la BBOX -> Access control -> Port mapping, comme ceci

TCP 80 80 80 192.168.1.2

c'est ca ?
Donc c'est le port du NAS qu'on ouvre, pas le port 80 du routeur ...
Pas dangereux ?

Morpheus a écrit :ok ... donc j'ouvre juste le port 80 du NAS a partir de l'interface de la BBOX -> Access control -> Port mapping, comme ceci

TCP 80 80 80 192.168.1.2

c'est ca ?
Donc c'est le port du NAS qu'on ouvre, pas le port 80 du routeur ...
Pas dangereux ?

Tu as enfin compris, extra

Cette grande phrase (compliquée) pour dire tout simplement qu'il te faut ouvrir le port 80 de ton NAS, oui

Nullement dangereux à partir du moment où le port 80 du NAS est protégé

Ce n'est pas comme si tu ouvrais le port 80 sur un pc qui tourne sous windows 95

Edit: sur base que l'ip 192.168.1.2 est l'ip du NAS evidemment!

Morpheus a écrit :Pas dangereux ?

Le temps de la vérification et lors du renouvellement suffit, après tu peux le refermer.

Je vais pas m'amuser a ouvrircet fermer tous les 3 mois !
Je suppose qu'il y a une autre solution ...

P.s tu parles de "proteger" le port 80 ?

Mackguil: j'y pensais aussi, vu qu'il ne suffit que l'execution du script pour la vérification/renouvellement tout les trois mois, quelques "secondes".
Mais bon, une chose à la fois, déjà lui expliquer ce qu'est le "NAT" et comment l'utiliser est enfin fait, autant ne pas aller plus loin.

Morpheus: "proteger" le port 80 du Synology, oui. Ceci dit, j'imagine que ce "script" est déjà protégé.

Si vraiment tu veux l'ouvrir et le fermer automatiquement, il y a surement des solutions dans notre ami "googel" avec "synology let's encrypt port 80 ouverture fermeture"

Morpheus a écrit :Je vais pas m'amuser a ouvrircet fermer tous les 3 mois !
Je suppose qu'il y a une autre solution ...

Scripter une ligne qui ouvre et referme le port via upnp , lancer la commande d'update via la commande ad-hoc puis placer le tout dans un ordonnanceur au date de renouvellement.

Merci Mackguil a chaque fois que tu ecris un message j'ai l'impression que c pour le pnaisir de poster lol.
Ca me donne mal de tete a chaque fois

Morpheus a écrit :Merci Mackguil a chaque fois que tu ecris un message j'ai l'impression que c pour le pnaisir de poster lol.
Ca me donne mal de tete a chaque fois

Je réponds à la question et te donnes une solution qu'est ce qui ne te vas pas ?

Pour répondre simplement: plutot que d'avoir le script qui se lance automatiquement, tu peux le faire manuellement (endeans un mois avant l'expiration) via SSH sur ton synology simpelemnt en tapant:

/usr/syno/sbin/syno-letsencrypt renew-all -v

Le script se lance, relance le certificat durant trois mois et après tu referme ton port 80

J'ai bien compris que tu ne veux pas ouvrir et fermer qqs secondes le port 80 tout les trois mois, mais le port 80 est une vraie passwoire et beaucoup de hackers scannent le dit port 80 evidemment, ce qui peux (eventuellement) bloquer carrement ton Syn.

L'explication complete (in english) ici

Comme ça tu auras deux fois plus mal à la tête

ca c'est une réponse
J'avais déjà lu cela sur internet après avoir cherche un peu ...
On peut effectivement mettre cette commande dans un "cron" sur le NAS, mais ce n'est pas cela le problème (c'est la partie facile).

Le problème c'est l'ouverture et a fermeture du port 80 a chaque fois .... et c'est facile de dire qu'il faut "scripter" cette ouverture / fermeture mais il s'agit ici de la BBOX ... !
Je ne pense pas que ce soit si facile que cela.

Franchement, il ne faut pas avoir fait l'université pour ouvrir et fermer un port une fois tout les trois mois, peut-être 15 secondes...
Autrement dit: c'est minime en temps comparé au temps perdu pour essayer de pondre/trouver un script/cron pour ouvrir et fermer ce port 5 secondes tout les trois mois (sur une bbox!)

Achètes toi une fritbox alors (à la place de ta bbox), peut-être alors qu'elle peut l'ouvrir et fermer (aussi à verifier)

Morpheus a écrit :ca c'est une réponse
J'avais déjà lu cela sur internet après avoir cherche un peu ...
On peut effectivement mettre cette commande dans un "cron" sur le NAS, mais ce n'est pas cela le problème (c'est la partie facile).

Le problème c'est l'ouverture et a fermeture du port 80 a chaque fois .... et c'est facile de dire qu'il faut "scripter" cette ouverture / fermeture mais il s'agit ici de la BBOX ... !
Je ne pense pas que ce soit si facile que cela.

Je vais te donner une piste vu que tu es monté sur tes grands chevaux, tu n'as qu'à chercher par toi même , configuration du routeur via et le gui du syno puis ssh sur celui-ci et scripter la ligne en question en la plaçant dans l’ordonnanceur comme tu as l'air de l'avoir compris.

Amuse toi bien.