Aller au contenu

Avis sur HTTPS et certificat SSL


jjacques68

Recommended Posts

Hello tout le monde,

 

Le sujet que je vais aborder n’a rien à voir avec la domotique, enfin pas directement...

 

Je me suis mis à utiliser WebDev afin faire des site intra/extranet... enfin c’est plutôt des applications qui passent par un serveur HTTP (IIS de windows en l’occurrence).

 

N’ayant pas de domaine, j’utilise mon IP public via un dyndns, avec un port spécifique.

 

Tout fonctionne très bien pour le moment, mais de l’extérieur, niveau sécurité, c’est moyen.

 

J’ai bien une demande d’authentification qui se fait par le serveur HTTP, mais rien est sécurisé.

 

Je pense alors à mettre en place un certificat SSL sur le serveur afin de pouvoir avoir le fameux « S » du HTTP.

 

Et là, il y a à boire et a manger...

J’ai plus ou moins compris le principe (création de la demande sur IIS, demande d’un certificat à un organisme, envoi de la clé émise par le serveur, étapes de validation....)

Les prix varient du simple au ... pas de limites....

Le type de certificat aussi OV, DV, EV (visiblement dans mon cas, ce serait un OV)

 

Est ce que je procède de la bonne manière où y-t-il un autre moyen plus sûr de sécuriser une connexion http. pour un particulier ?

 

 

 

Modifié par jjacques68
Lien vers le commentaire
Partager sur d’autres sites

Utilisé lets encrypt c'est gratuit et le renouvellement est tout les 3 mois tu peux utilisé un script pour renouveler cela automatiquement sous Linux j'utilise cerbot

Envoyé de mon BLA-L29 en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

J'utilise aussi SSL for free sur mon nas/de Ian via HAProxy. 

Attention pour le renouvellement automatique, il faudrait ouvrir le port 80.

Un nom de domaine, c'est moins de 10€/an

Lien vers le commentaire
Partager sur d’autres sites

Comme@jojo j'utilise haproxy en reverse proxy dans une vm debian cela fonctionne très bien depuis plus d'un an j'ai un nom de domaine chez ovh pour 7 euros. Le plus chiant c'est la configuration de haproxy une fois cela fait ça roule il faut faire une redirection des ports 80 et 443

Envoyé de mon BLA-L29 en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

@jojo, j’ai lu tes liens.

Je veux bien créer un nom de domaine, mais je ne souhaite pas être dépendant d’un hébergeur genre OVH ou 1&1...

 

du coup je suis un peu perdu... (je découvre ce milieu...)

Si je créé un nom de domaine, comment je fais le lien entre le nom de domaine et mon l’IP de mon serveur ?

Cela se passe à quel endroit ?

Lien vers le commentaire
Partager sur d’autres sites

Tu créer ça chez OVH, mais tu n'es pas dépendant d'eux du tout, ils n’hébergent rien, ils servent juste à gérer ton nom de domaine. J'ai ça chez OVH depuis des années, aucun souci. Ensuite tu as accès sur leur site à une page de paramétrage ou tu gères tout, tes rediections, ip fixe, dyndns si dynamique etc etc.

  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

donc ils ne sont là que pour propager ton nom de domaine sur les serveurs DNS (les même qui hébergent www.ggogle.com, ...)

Pour ton adresse publique externe (qui doit évidemment être connue pour faire le lien avec ton nom de domaine),ils ont un service DDNS qui peut être mis à jour automatiquement par ton NAS ou Routeur.

Regarde ce lien :

https://www.nas-forum.com/forum/topic/62627-tuto-pourquoi-et-comment-utiliser-un-nom-de-domaine/

Lien vers le commentaire
Partager sur d’autres sites

YES ça marche !! :) 

 

Suis en ip fixe en fait, donc ça simplifie...

J’ai quand même essayé de passer par mon compte dyndns pour faire le lien, mais j’ai pas trouvé...

J’ai pas eu besoin de passer par le NAS.

J’ai ajouter une entrée type À avec mon IP public dans la zone DNS.

J’ai aussi supprimé toutes les autres entrées par défauts dans Zone DNS...

J’ai juste redirigé le HTTPS vers l’ip du serveur IIS sur le port 443 sur mon routeur.

 

Etrange cependant, si je mets es www dans l’adresse ça marche pas, je tombe systématiquement sur la page de connexion de OVH...

 

Maintenant l’étape suivant serait d’avoir un “vrai“ certificat SSL.

Lien vers le commentaire
Partager sur d’autres sites

Un certificat Let's Encrypt, c'est tout ce qu'il y a de plus vrai, et c'est gratuit.

 

Pas besoin de dépenser de l'argent inutilement, il est loin le temps où les autorités de certifications étaient réservées à quelques élites qui les facturaient fort cher.

 

La seule limitation, si je puis dire, c'est que le certificat a une durée de vie très courte de 3 mois seulement. Mais ça n'est pas un souci, avec le bon script certbot il est renouvelé automatiquement à chaque fois. Je crois même que les Synology savent s'en charger tout seuls.

 

Aujourd'hui tu as juste besoin de payer le nom de domaine, ce qui coute une poignée d'euros chaque année. Rien de bien méchant. Chez OVH, Gandi, etc...

 

 

EDIT : je radote, je viens de voir que @mprinfo avait déjà précisé tout cela au début du topic.

  • Like 1
Lien vers le commentaire
Partager sur d’autres sites

:) Ouiiii promis ! je vais regarder !

D’abord faut que je regarde si, comme tu le penses, le syno gère ça tout seul...

Parce que ajouter encore un script... ... bof

Ça commence sérieusement à devenir compliquer nos installations...

Mais c’est super intéressant !


Envoyé de mon iPhone en utilisant Tapatalk Pro

Lien vers le commentaire
Partager sur d’autres sites

Et quelqu’un s’y connaît avec IIS ?

Parce que niveau authentification sur les pages, je passe par une authentification Windows de base avec un user déclaré.

Ça marche très bien, mais ces c... de navigateurs mémorisent les mots de passe !

Et je voudrait forcer dans IIS l’obligation après un timeout de se re-identifier...

Si je peux pas le faire avec IIS, va falloir le gérer avec Webdev... faisable mais pfffff.

D’après la doc, il faut jouer avec les paramètres ASP.net du serveur web, ce que je fais, mais sans succès...

Merci à vous !


Envoyé de mon iPhone en utilisant Tapatalk Pro

Lien vers le commentaire
Partager sur d’autres sites

IIS sur Internet, t'es pas fou toi ?

Même Microsoft ne le fait pas.

 

IIS c'est tout juste bon pour les applications propriétaires codées pour un usage en Intranet.

 

Sur le Web, il faut utiliser Apache, Ngynx, LightHTTP, etc

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...