Aller au contenu
jjacques68

Avis sur HTTPS et certificat SSL

Recommended Posts

Hello tout le monde,

 

Le sujet que je vais aborder n’a rien à voir avec la domotique, enfin pas directement...

 

Je me suis mis à utiliser WebDev afin faire des site intra/extranet... enfin c’est plutôt des applications qui passent par un serveur HTTP (IIS de windows en l’occurrence).

 

N’ayant pas de domaine, j’utilise mon IP public via un dyndns, avec un port spécifique.

 

Tout fonctionne très bien pour le moment, mais de l’extérieur, niveau sécurité, c’est moyen.

 

J’ai bien une demande d’authentification qui se fait par le serveur HTTP, mais rien est sécurisé.

 

Je pense alors à mettre en place un certificat SSL sur le serveur afin de pouvoir avoir le fameux « S » du HTTP.

 

Et là, il y a à boire et a manger...

J’ai plus ou moins compris le principe (création de la demande sur IIS, demande d’un certificat à un organisme, envoi de la clé émise par le serveur, étapes de validation....)

Les prix varient du simple au ... pas de limites....

Le type de certificat aussi OV, DV, EV (visiblement dans mon cas, ce serait un OV)

 

Est ce que je procède de la bonne manière où y-t-il un autre moyen plus sûr de sécuriser une connexion http. pour un particulier ?

 

 

 

Modifié par jjacques68

Partager ce message


Lien à poster
Partager sur d’autres sites

Utilisé lets encrypt c'est gratuit et le renouvellement est tout les 3 mois tu peux utilisé un script pour renouveler cela automatiquement sous Linux j'utilise cerbot

Envoyé de mon BLA-L29 en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

je connais pas... vais voir...

en attendant j’utilise un certificat auto signé... ça vaut ce que ça vaut...

Partager ce message


Lien à poster
Partager sur d’autres sites

J'utilise aussi SSL for free sur mon nas/de Ian via HAProxy. 

Attention pour le renouvellement automatique, il faudrait ouvrir le port 80.

Un nom de domaine, c'est moins de 10€/an

Partager ce message


Lien à poster
Partager sur d’autres sites

Comme@jojo j'utilise haproxy en reverse proxy dans une vm debian cela fonctionne très bien depuis plus d'un an j'ai un nom de domaine chez ovh pour 7 euros. Le plus chiant c'est la configuration de haproxy une fois cela fait ça roule il faut faire une redirection des ports 80 et 443

Envoyé de mon BLA-L29 en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

je n'ai pas fait la redirection du port 80, pour des raisons de sécurité.

Avec HAProxy, si tu veux, il esgt "facile" de transformer tout le trafic http en https

Partager ce message


Lien à poster
Partager sur d’autres sites

Ben voila ... comme tu dis un nom de domaine n’est pas si cher...

Après quelle type de certificat me faudra-t-il ?



Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

@jojo, j’ai lu tes liens.

Je veux bien créer un nom de domaine, mais je ne souhaite pas être dépendant d’un hébergeur genre OVH ou 1&1...

 

du coup je suis un peu perdu... (je découvre ce milieu...)

Si je créé un nom de domaine, comment je fais le lien entre le nom de domaine et mon l’IP de mon serveur ?

Cela se passe à quel endroit ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu créer ça chez OVH, mais tu n'es pas dépendant d'eux du tout, ils n’hébergent rien, ils servent juste à gérer ton nom de domaine. J'ai ça chez OVH depuis des années, aucun souci. Ensuite tu as accès sur leur site à une page de paramétrage ou tu gères tout, tes rediections, ip fixe, dyndns si dynamique etc etc.

  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites

donc ils ne sont là que pour propager ton nom de domaine sur les serveurs DNS (les même qui hébergent www.ggogle.com, ...)

Pour ton adresse publique externe (qui doit évidemment être connue pour faire le lien avec ton nom de domaine),ils ont un service DDNS qui peut être mis à jour automatiquement par ton NAS ou Routeur.

Regarde ce lien :

https://www.nas-forum.com/forum/topic/62627-tuto-pourquoi-et-comment-utiliser-un-nom-de-domaine/

Partager ce message


Lien à poster
Partager sur d’autres sites

ah ben voilà, merci les gars, je comprends mieux maintenant ! 

 

bon ben je vais m’occuper de ça !

 

merci !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon amusement 

Partager ce message


Lien à poster
Partager sur d’autres sites

Yes, good fun :)

Partager ce message


Lien à poster
Partager sur d’autres sites

YES ça marche !! :) 

 

Suis en ip fixe en fait, donc ça simplifie...

J’ai quand même essayé de passer par mon compte dyndns pour faire le lien, mais j’ai pas trouvé...

J’ai pas eu besoin de passer par le NAS.

J’ai ajouter une entrée type À avec mon IP public dans la zone DNS.

J’ai aussi supprimé toutes les autres entrées par défauts dans Zone DNS...

J’ai juste redirigé le HTTPS vers l’ip du serveur IIS sur le port 443 sur mon routeur.

 

Etrange cependant, si je mets es www dans l’adresse ça marche pas, je tombe systématiquement sur la page de connexion de OVH...

 

Maintenant l’étape suivant serait d’avoir un “vrai“ certificat SSL.

Partager ce message


Lien à poster
Partager sur d’autres sites

Un vrai à long terme pro, c'est payant, pas le choix. Et c'est pas donné.

Partager ce message


Lien à poster
Partager sur d’autres sites

Un certificat Let's Encrypt, c'est tout ce qu'il y a de plus vrai, et c'est gratuit.

 

Pas besoin de dépenser de l'argent inutilement, il est loin le temps où les autorités de certifications étaient réservées à quelques élites qui les facturaient fort cher.

 

La seule limitation, si je puis dire, c'est que le certificat a une durée de vie très courte de 3 mois seulement. Mais ça n'est pas un souci, avec le bon script certbot il est renouvelé automatiquement à chaque fois. Je crois même que les Synology savent s'en charger tout seuls.

 

Aujourd'hui tu as juste besoin de payer le nom de domaine, ce qui coute une poignée d'euros chaque année. Rien de bien méchant. Chez OVH, Gandi, etc...

 

 

EDIT : je radote, je viens de voir que @mprinfo avait déjà précisé tout cela au début du topic.

  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour le certificat, j’en avais vu à 35 € chez GlobalSign...

bien-sur à l’’année...

Partager ce message


Lien à poster
Partager sur d’autres sites

Let's Encrypt  on te dit ;)

Partager ce message


Lien à poster
Partager sur d’autres sites

:) Ouiiii promis ! je vais regarder !

D’abord faut que je regarde si, comme tu le penses, le syno gère ça tout seul...

Parce que ajouter encore un script... ... bof

Ça commence sérieusement à devenir compliquer nos installations...

Mais c’est super intéressant !


Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

Et quelqu’un s’y connaît avec IIS ?

Parce que niveau authentification sur les pages, je passe par une authentification Windows de base avec un user déclaré.

Ça marche très bien, mais ces c... de navigateurs mémorisent les mots de passe !

Et je voudrait forcer dans IIS l’obligation après un timeout de se re-identifier...

Si je peux pas le faire avec IIS, va falloir le gérer avec Webdev... faisable mais pfffff.

D’après la doc, il faut jouer avec les paramètres ASP.net du serveur web, ce que je fais, mais sans succès...

Merci à vous !


Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

IIS sur Internet, t'es pas fou toi ?

Même Microsoft ne le fait pas.

 

IIS c'est tout juste bon pour les applications propriétaires codées pour un usage en Intranet.

 

Sur le Web, il faut utiliser Apache, Ngynx, LightHTTP, etc

Partager ce message


Lien à poster
Partager sur d’autres sites

:) ok... ça, c’est dit... comme ça c’est clair...

Bon ben c’est reparti pour des heures de lectures :)


Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

A la base c’était pour de l’intranet, mais j’ai vite voulu passé à l’extranet...


Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

×