Certificat SSL en local

Pulpy-Luke · Août 19, 2021, 12:56

C’est plus critique que d’exposer du http via tor ?

Gubu · Août 19, 2021, 1:20

Oui Il me semble que c’est asez complexe

Pulpy-Luke · Août 19, 2021, 4:52

Entre confier et faire transiter mes données à des tiers (en HTTP, chiffrées par TOR sauf pour le dernier noeud) et permettre de générer un certificat pour chiffrer localement le traffic du réseau local … Le choix est vite vu de mon coté.

Gubu · Août 19, 2021, 5:41

@Pulpy-Luke
Je suis entiérement d’accord avec toi mais mettre un certificat ssl avec tor c’est trés complex.

Pulpy-Luke · Août 19, 2021, 6:06

On a du mal à se comprendre je pense.
Je ne parle pas d’un certificat, ça n’existe pas en soi à travers TOR, je remarque juste que tu ne veux pas ouvrir un port 443 le temps de créer ton certificat mais que tu ne semble pas avoir de souci à tout faire transiter par TOR alors que c’est encore moins sécurisé. Je ne comprends pas la logique

Et plus globalement, je n’ai toujours pas compris le besoin initial : sécuriser l’accès local via du HTTPS. Un réseau local c’est normalement un écosystème relativement maitrisé…

mycanaletto · Août 19, 2021, 8:01

Amusant à lire…

Addon Lets’Encrypt + API CloudFlare + fichier host sur ton PC ou DNS local = aucun port à ouvrir. Mais ca reste du local.

La meilleure solution étant bien sur Nabu Casa qui outre l’absence de ports à ouvrir permet de soutenir le projet…

PS : c’est moins joli mais en local tu peux aussi faire du http…

Pbranly · Août 23, 2021, 2:50

J’ai bien compris que tu ne voulais ouvrir aucun accès extérieur
Mais je répète la question posée par d’autres :
Pourquoi veux tu à tous prix sécuriser ton accès local ?
Tu es en local donc tu ne risques rien
Explique nous stp
Phil

Gubu · Octobre 28, 2021, 8:50

@mycanaletto

Addon Lets’Encrypt + API CloudFlare + fichier host sur ton PC ou DNS local = aucun port à ouvrir. Mais ca reste du local.

Je n’ai pas trop compris désolé. Tu peux m’envoyer un tuto stp?

Gubu · Octobre 28, 2021, 8:52

@Pbranly Il y a deja des « hackers » qui sont rentrés dans mon réseau local(la box n’a aucun port ouvert). C’est pour cela que je souhaiterai protéger d’avantage HA.

Pulpy-Luke · Octobre 28, 2021, 10:04

Du coup, je vois pas en quoi le certificat va te protéger…
Mettre un rideau aux fenêtres ça n’empêche pas les cambriolages.

Gubu · Octobre 28, 2021, 10:08

Mais c’est deja mieux

Pbranly · Octobre 28, 2021, 10:33

Je confirme:
Un certificat ne te protègera pas en local
Ton hack en local est du a autre chose

Pbranly · Octobre 28, 2021, 10:34

Lol au contraire ! Les rideaux cachent les hackers a l’œuvre !

Gubu · Octobre 28, 2021, 10:35

Oui mais au lieu de me dissuader. Ne serait-il pas plus simple de m’éclairer svp?

Pulpy-Luke · Octobre 28, 2021, 10:40

T’éclairer pourquoi pas mais il faut connaître l’ensemble du contexte…
À ta place moi je commence par virer Tor… Il y a toutes les chances que tes hackers passent par là

Gubu · Octobre 28, 2021, 10:57

Je souhaiterai ajouter un certificat ssl valide en local afin de que mon HA passe en https. je ne veux pas ouvrir les ports de ma box(de maniére permanente).

C’est déja fait

Pulpy-Luke · Octobre 28, 2021, 11:08

C’est pas le contexte ça, ni même le besoin. Ce que tu précises là, c’est une réponse technique que tu as imaginé.
Réponse technique bancale parce que des certificats en local, ça sert à rien tout seul… Et que ça résoudra pas tes soucis de hackers ni de même t’aidera à les empêcher d’agir.

Malgré tout, toutes informations pour faire ça sont déjà données plus haut par @Clemalex.

Pbranly · Octobre 28, 2021, 11:10

Il y a peut être une solution avec certificat autosigne local. Mais franchement ça ne sert à rien .
Si tu t’es fait hacke en local c’est qu’il est entré par un back door. Et si il est en local, il peut faire ce qu’il veut. Ce n’est plus en chiffrant le protocole http par de lhttps que tu empêchera ton intrus de voir les échanges de trames

On n’en sait pas assez pour savoir comment tu t’es fait hacke en local mais tu fais fausse piste .
Tu as un trou dans la raquette quelque part .
Cherche au niveau wifi par exemple. Si quelqu’un s’installe devant chez toi et trouve ton mot de passe, il est chez toi et fait ce qu’il veut .

Ça m’est arrivé aussi . Il avait copie et supprimé tout le répertoire mes documents . J’étais encore en 512 k ! Il y avait des centaines de Mo…. J’ai fini par trouver : j’avais un répéteur wifi qui a l’époque avait un back door ….

mycanaletto · Octobre 28, 2021, 12:41

Pour ceux qui veulent un certif local sans ouvrir de ports :

Addon Lets Encrypt + API Cloudflare (ça fonctionne peut être avec Gandi et OVH mais je n’ai pas fait).

email: lionel@mondomaine.com
domains:
  - mondomaine.com
certfile: fullchain.pem
keyfile: privkey.pem
challenge: dns
dns:
  provider: dns-cloudflare
  cloudflare_email: monmail@mondomaine.com
  cloudflare_api_token: vYRFsdfsdfsdghdsgfklgmqùmkvqkgùmkkfgk

Et pour l’accès extérieur NabuCasa sans ouvrir de ports. Il n’y a rien à faire qu’à s’abonner. OK, ça peut paraitre cher, mais c’est aussi une façon de contribuer un peu à HA. Facile et sécure, mais $5 par mois.

On peut aussi faire du Zerotier, Tailscale ou Wireguard, mais c’est plus compliqué et plus contraignant.

Autre pistes pour améliorer la sécurité si des ports sont ouverts :

utiliser le filtrage géographique (Synology, Unifi…) en limitant les accès à la France. Ca limite bien la casse.
utiliser Cloudflare en reverse proxy et limiter l’accès à leurs IP. Cela permet aussi de faire du geoip et ça ne coute rien. Bon, ok, il faudrait un peu de temps et faire un tuto…

Gubu · Octobre 28, 2021, 1:01

Merci beaucoup
Dernière question est ce que je peux mettre un nom de domaine duckdns(j’ouvre les ports de ma box) je configure Let’s Encrypt comme tu m’as montré.
Et une foi que j’ai mon certificat j’enlève duckdns et refermé les ports de ma box?