Certificat non sécurisé en local

[Akhlan]

Bonjour,

 

j'ai une question qui n'empêche en rien mon Nas de fonctionner mais est ce normal qu'en local, via l'IP, mon certificat Let's Encrypt soit considéré comme non sécurisé alors que via une connexion avec un nom de domaine, le certificat devient valide ?

 

     

 

Merci

[Guest]

Salut,

Le certificat étant lié a ton nom de domaine, c'est tout a fait normal.

Edited January 25, 2020 by EVOTk

[nicoueron]

Effectivement comme le mentionne @EVOTk un certificat est lié à un nom de domaine mais ceci est une limite de Let's Encrypt. Techniquement si tu utiliserais une autre Autorité de Certificat maison (ie. que tu crées toi même et que tu importes ce certificat AC dans ton magasin de certificats de ton PC/navigateur) alors il est possible de générer des certificats pour une IP précise (voire plus) . Mais bon cela impliques de connaitre les commandes openssl, et à la vue de ta question je pense que j'en ai trop dit^^

 

[pmchan]

Je réponds un peu à côté mais si ton routeur te le permet, tu peux ajouter un DNSMASQ qui, en réseau local, forcera un nom de domaine externe vers une ip locale spécifique. Par exemple sur mon Netgear R7000 sous tomato, dans Advanced/DHCP/DNS cela ressemble au screen ci-joint.

Du coup, en local, si j'entre le nom de domaine (ou plutôt sous-domaine bitwarden,syno, plex4g,etc .mondomaine.com) de mon nas au lieu de son ip 192.168.1.49:port, le certificat fonctionne bien et je suis en mode sécurisé. Si j'entre l'ip, par contre, effectivement je suis en non sécurisé ce qui est normal sauf à vouloir générer ton certificat toi-même comme expliqué plus haut.

 

C'est pratique pour utiliser en local des services qui nécessitent obligatoirement une connexion sécurisée, comme l'app Calendrier sur mac, on entre le nom de domaine dans les paramètres de connexion plutôt que l'ip locale non sécurisée et le dnsmasq redirige au bon endroit.

 

EDIT: je réalise en relisant ton post que c'est sans doute ce que tu as déjà fait, je fatigue, désolé, je laisse au cas où quelqu'un chercherait ce genre d'info

Edited January 25, 2020 by pmchan

[nicoueron]

En fait ça ne sert à rien ce que tu as fait sur ton routeur! En effet celui sait nativement (via SA résolution DNS) que le nom de domaine est résolu sur ton IP publique, donc du point de vue de ton réseau local il le résout en un saut alors certes sur l'IP Publique (et non en 192.168.1.xxx) mais c'est aussi rapide que ton mécanisme. La preuve avec un traceroute :

 

Pour résumer : lorsqu'on a un nom de domaine (ie. un nom DNS correctement résolu) ça rien plus à rien de continuer à utiliser l'IP locale  sauf si effectivement tu sais que ton serveur DNS est foireux!

[pmchan]

J'ai peut-être un DNS foireux car ça ne fonctionne pas sans ces redirections! Est-ce que cela pourrait être lié au fait que je fais du double WAN, avec une ligne adsl et une ligne 4G, chacune passant par des dns différents? 

[nicoueron]

On s’égare mais je ne pense pas que ça change quelque. Tu as mis quoi comme serveur DNS?

[Akhlan]

bon au vue des réponses, ça va rester comme ça  Merci à tout le monde