C’est ce que j’ai regardé en premier pour embêter personne avec mon soucis mais je pense ne pas avoir compris plusieurs chose c’est pour ça que je demandais de l’aide pour comprendre d’ou viens mon erreur. Les commande que j’ai pu utilisée sont issu de plusieurs tuto internet mais rien à faire.
Je vais fermer le post c’est pas grave merci quand même
Il faut que tu crées un réglé de nattage sur ta box pour permettre un accès sur le port 80 sur ton jeedom.
C’est une condition pour pourvoir renouveler le certificat
J’ai fait le même constat et du coup je n’ai pas programmé de renouvellement automatique…si à chaque fois il faut ouvrir le port 80 à la main, autant tout faire et vérifier.
Si vous avez une vraie solution automatique de bout en bout je suis preneur.
EDIT : @Mips Afin de laisser, à la communauté, un droit de réponse à tes commentaires faits après la fermeture automatique du sujet, il aurait été souhaitable que tu rouvres ce sujet. Je pense que ce n’est qu’un oubli de ta part.
Bonjour,
En vrai nettement moins sécurisé que de laisser un port 80 ouvert, qui en fait n’est absolument pas un risque !
On s’en fiche que le port 80 permette de joindre jeedom puisque de tout façon le 443 le permet déjà, le risque c’est de mettre son login / password sur une connexion http, port 80 (d’où l’intérêt de rediriger le trafic vers du https directement)
Le challenge dns dans sa forme actuelle est à banir selon moi puisqu’il impose de laisser des credentials sur un serveur Web (jeedom ou reverse proxy) pour utiliser une api permettant de modifier sa config dns… Une ineptie !
si ces credentials sont volés c’est toute la config dns qui est compromise.
Effectivement! pas vu que le sujet avait été fermé
edit: je pense que c’est dû à la coupure internet que j’ai eu hier car j’avais écrit ma réponse dans la journée (donc avant que le post soit fermée) mais elle n’a été postée que la nuit passée…
La machine chargée de l’obtention ou du renouvellement des certificats ne possède pas de serveur Web. Aucun de ses services n’a besoin de certificats. Les certificats sont propagés via le LAN aux machines qui en ont besoin.
Le challenge DNS se fait via api-key. LiveDNS API - Gandi Public API
Je ne suis pas un spécialiste en sécurité donc si cette configuration te semble dangereuse, n’hésite pas à nous le faire savoir.
Oui, mais il n’y a pas plus de risque en http qu’en https, le https ne protège pas directement le serveur, il protège en fait l’utilisateur car il protège les données échangées entre les deux
Je reformulerai en disant que « la machine faisant le renouvellement n’a pas besoin d’être le serveur web » mais dans l’utilisation que la plupart ont ici en utilisation « home » (moi y compris), le renouvellement est fait par la même machine jouant ce rôle (ou le reverse proxy mais c’est pareil), donc c’est la machine qui est exposée sur internet, et comme tu le dis, les failles ca existe donc en cas de faille il faut exposer le moins d’information possible
Donc je vais reformuler ce que je disais plus haut:
selon moi à bannir si le renouvellement est fait sur la machine exposé à internet (serveur web, proxy) car en cas de faille sur celle-ci les credentials pour modifier le dns via api seront compromis.
Donc finalement, le challenge DNS n’est pas si dangereux que ça. C’est surtout comment il est mis en œuvre.
Un peu comme tout dans la vie, le nucléaire, l’électricité, etc…