@sylvain : je m’y perds lol avec mon ip locale sur mon ordi chez moi sur mon propre réseau je me connecte comment du coup en http (http://10.0.0.58:8123) ou https (https://10.0.0.58:8123) ? si je prends l’ensemble des réponses il semble y avoir des contradictions ou alors je suis vraiment une quiche et je n’arrive plus à vous suivre…
Dans tous les cas http ou https j’ai une erreur sur les 2…
Je peux certes me connecter via mon ndd mais en local je trouve ça con d’autant plus que j’ai une certaine voire parfois très certaine latence… (adsl pourri comme co)
Alors sur firefox là ou cela fonctionnait avant en http ://@ip:8123 cela ne fonctionne plus, par contre en voyant que tu étais sur chrome j’ai eu l’idée de tester sur un autre navigateur et la je me retrouve comme toi avec une page en http pour laquelle je dois ajouter une exception…je n’y comprends plus rien (edge utilisé poue l’essai)
Je commence à me demander si c’est pas mon firefox qui commence à être déficient ! qd je clique sur lovelace sur une carte il me fait apparaitre un curseur par exemple… et cette histoire d’url semblerait faire pencher vers une déficience logicielle aigüe de firefox…
t’as des addons nginx reverse etc. d’activé ? moi je n’ai rien et j’ai le fonctionnement comme je l’ai mis sur les photos. C’est le fonctionnement par défaut suite à l’activation du ssl
Pour les cheveux t’inquiète pas pour eux j’ai adopté le look Barthez mais c’est quand même pénible du coup si j’ai des comportements différents en fonction du navigateur.
Pour répondre à ta question j’ai les 2 addons nginx installé mais aucun en route pour le moment…ce sera pour la partie 2 du plan quand on aura résolu ce point et que l’on abordera l’accès aux autres ports via mon ndd
De ce que j’ai compris de ta situation, et avec les add-on désactivés, tu n’as plus que https de disponible.
Donc, http://monip:8123 ne marchera plus.
Ensuite, si tu veux faire httpS://monip:8123, là, le comportement va varier avec le navigateur utilisé et la version de ce navigateur.
Le certificat que tu as installé c’est pour l’hôte ha.mondomaine.fr et pas pour monip (192.168…).
Chrome t’envoie une insulte comme quoi il y a sans doute un méchant qui prétend être ce qu’il n’y pas puisqu’il y a une différence entre monip et ha.mondomaine.fr. Mais, chrome est (encore) gentil et te laisse dire « oui, je sais mais je veux le faire quand même ».
Firefox était gentil et on pouvait faire de même. Avec les versions récentes (je dirais moins d’un an), ce n’est plus possible.
Ce qui serait vraiment cool serait que HA puisse faire du HTTPS et HTTP en même temps, mais, malheureusement ce n’est pas (encore?) possible.
C’est pour cela qu’une solution possible consiste à utiliser un reverse proxy (add on nginx ou caddy) que l’on utilisera pour les accès HTTPS externe qui marchera HA restant en HTTP et donc accessible en direct en HTTP.
et ça marche sous chrome et sous edge en mettant une exception…comme avec firefox avant sauf que depuis ces manips ssl et autres sous firefox cela ne marche plus que par https sur le NDD…c’est bizarre non ? je ne suis pas allé changer de paramètre dans firefox pourtant…
@golfvert t’as fait une jolie réponse explicative…(faut que je mette à jour mon firefox… )
edit: ah bah non j’ai la dernière (84.0.2) et je peux lever une exception @golfvert (mais c’est HS, j’attend pas de réponse c’est pour info)
Merci pour ta réponse, donc du coup je suis bien sécurisé depuis l’exterieur en passant https sur mon NDD et en local je suis (censé en tout cas) être sécurisé puisque sur réseau local derrière DMZ, routeur et FW.
Par contre si j’ai fait ma redirection de port pourquoi firefox me jette si j’essaie de faire mon https:monNDD:1880 par exemple pour atteindre node red ? parce que c’est firefox et qu’il bloque ou je suis quand même bloqué ? Car quand je faisait tourner nginx en plus la avec mon ndd et firefox je pouvais atteindre NR, portainer etc mais il m’obligeait a passer http en me disant que l’hote ne disposait pas de https…du coup je n’étais pas protègé logiquement ? (à savoir que je tourne h24 sous nord vpn qd même pour toutes mes connections)
Bon je me réponds partiellement, car le brouillard se dissipe peu à peu… pour node red par exemple je pense que je dois configurer le https sur node red lui même peut être non ? et ça doit être pareil pour portainer etc…quid des addons genre tasmo admin qui sont gérés par HA directement ? je vais essayer si https grace à HA ou http car webui hors HA…
C’est mon expérience au taf qui m’a fait écrire ça. On est emm… avec ce problème sur firefox. Mais, bon, je me trompe peut-être. Sur un autre post, on évoquait la complexité/simplicité de certaines solutions. Je pense que mettre HA en HTTPS sauf si on sait vraiment ce que l’on fait et que c’est indispensable, il vaut mieux éviter. C’est une source potentielle d’ennui sans fin. Et autoriser des exceptions, même si ça marche, ce n’est pas une bonne pratique. Les navigateurs sont en train d’améliorer leur sécurité (cf. la suppression de flash player) et un jour prochain, je pense que les exceptions seront impossibles.
Oui, c’est ça. Et ça va être galère. Ton certificat c’est un « wildcard » (autrement dit ça marche pour *.mondomaine.fr) ou seulement pour ha.mondomaine.fr? Parce que si c’est ha seulement, bah, il ne sera pas valide pour NR en interne avec l’IP mais aussi en externe. Et c’est reparti pour un fonctionnement par exception. Ce qui est, au mieux, pénible et au pire impossible.
Donc, je pense que ne faire que du HTTPS (donc ne pas avoir de reverse proxy), ça va te poser des problèmes in fine. Par exemple (et là je suis vraiment sûr ;)), l’appli home assistant officielle ne marchera pas si tu mets https://monip:8123 et là, pas moyen de faire une exception. Il me semble que dans ta situation, il vaudrait mieux laisser les services en HTTP et avec un reverse proxy faire pointer en fonction du nom vers le service en HTTP en interne. Voir une base sur la mise en place ici Plusieurs nom de domaine externe vers plusieurs IP locale - #3 par golfvert
Bon merci pour ces précisions. Je viens de regarder ton tuto et dans mon cas je suis pareil, j’ai un ndd duckdns que j’avais créé et j’ai récemment découvert grâce au tuto de Mcfly que j’avais celui de la freebox aussi.
donc si je suis bien en installant nginx je vais ppuvoir gerer ces deux domaines et logiquement acceder a tous les ports que je redirigerai dans mes regles…
Du coup je laisse l’addon let’s encrypt ? Comment faire pour avoir un certificat et pour duckdns et pour freeboxos ? Toujours via la config de l’addon let’s encrypt ? Du coup l9gique je peux les utiliser pour d’autres ports autres que 8123 d’HA ? Et du coup lequel des 2 addons nginx HA vaut il mieux utiliser ?
Je n’utilise pas ces solutions, j’en ai une à base de VPN et de DNS menteur qui est assez spéciale.
Dans ton cas, je prendrai un seul nom: host.mondomaine.fr ou mieux *.mondomaine.fr (c’est faisable avec cloudflare, je ne sais pas avec letsencrypt).
Installer l’add on caddy (caddy en tant que reverse proxy me parait plus simple que NGINX).
Tu ouvres seulement le port 443 vers l’addon caddy.
Et là, tu as des vhosts selon la terminologie de caddy. Un pour ha vers l’ip HTTP et 8123 de HA, idem pour nodered,…
Ca me parait la solution la moins compliquée (ou la plus simple ).
Attention, les exceptions vont être bloquées par Firefox et prochainement par Chrome. Le HTTP est amené à disparaitre.
Au taf, nous avons un gros chantier de migration de tous nos sites qui sont encore en HTTP. Si ce n’est pas possible pour différentes raisons, nous devons les passer derrière un reverse proxy pour les rendre accessible au HTTPS
Disons qu’entre les certificats « foireux » et les sites en HTTP, le moindre mal est le HTTP. Si ce sont des sites visibles sur Internet, google te met une mauvaise note si ton site est en HTTP.
L’incitation à passer en HTTPS est (de ce que je sais) surtout lié à cette problématique d’indexation.
Et indexer son site interne, ça ne doit pas être une préoccupation majeure
Ça n’est pas une question de referencement, les navigateurs commencent à brider les liens vers les sites en HTTP.
Firefox depuis la version 83 passe par défaut en HTTPS-only et Chrome ne va pas tarder.
Ils interdisent déjà toutes requêtes HTTP effectuée depuis un site en HTTPS.
Certaines applications comme HA companion m’a posée des problèmes lorsque j’étais en HTTP.
et je n’arrive plus à vous suivre…
(edge utilisé poue l’essai)
).