Suite à des pbs avec le ws sur jeeconnect via synology, je me décide à passer par un nom ovh
j’ai une IP fixe (free full stack)
j’ai créé mon domaine ovh et donc un sous domaine pour jeedom qui pointe vers mon IP fixe (seules actions sur le site ovh)
j’ai natté le port 80 et 443 des toutes IP externes vers jeedom (80 et 443) sur ma box
j’ai installé mon certificat let’s encryted sur le RPI
j’ai accès à mon jeedom en HTPS depuis l’extérieur et en interne depuis le web sans soucis
jeeconnect est ok sur le ws et le nouveau nom publique depuis l’extérieur
j’ai néanmoins deux questions :
j’ai lu que le certificat installé par certbot intégrait maintenant un renew auto, est ce exact ?
peut on couper le port 80 sur la redirection de la box et quid de l’impact sur le renew du certif ?
Après j’ai peut être zappé de la sécurité sur le nom de domaine avant le sous domaine jeedom, je ne sais pas trop là
Si vous voyez autre chose à faire que je n’aurais pas fait je suis preneur, merci à vous et je sais que peut être que le pack DNS jeedom est plus simple, mais pas ok avec le ws jeeconnect donc je ne l’ai pas pris
Après c’est plus des questions de sécurité qui se posent, et là je sais que c’est un vaste sujet
Alors je suis pas un pro de la sécurité informatique (ni même de l’informatique tout court…) mais voilà ce que j’ai compris à propos de l’histoire des port 80 et 443 (les experts me corrigeront si besoin)
En gros, ça n’a pas spécialement de sens de fermer le port 80 s’il pointe sur ton serveur, ça ne sera pas plus sécurisé que de le fermer.
S’il y a une vulnérabilité sur le serveur, elle pourra être exploitée, quelque soit le port qui sert à l’attaque.
le SSL sert à chiffrer les échanges entre les clients (navigateur) et le serveur.
En gros, en http, quand tu tapes ton mot de passe pour acceder à jeedom, il circule en clair sur le net, et il peut être intercepté et utilisé par quelqu’un d’autre.
en https, ton mot de passe est chiffré par le navigateur (en utilisant le cerfificat ssl) pour qu’il ne circule pas en clair sur le net, et que du coup il soit beaucoup plus difficile de l’obtenir.
Mais au niveau de la sécurité du serveur ça ne change strictement rien.
Le truc à vérifier, quand on laisse les 2 ports ouvert, c’est que quand tu essayes de te connecter au serveur en http, il te redirige automatiquement en https, sinon ben le risque c’est qu’un jour tu te connecte en http sans faire attention et que les infos circulent en clair sur le net.
C’est tout.
Ok merci
Oui l’accès http redirige vers l’https pour l’accès donc pas de risque de passer en direct non crypté depuis internet
Après c’est peut être le RPI en lui même qui est plus à risque pour une attaque que jeedom
En effet le TLS ne protège que la confidentialité des échanges. Si une vulnérabilité est exploitable en http que l’on fasse du https ou non ni changera rien.
Je pensais que mon accès externe était ok (je vois le dashboard) mais en fait si je veux aller dans le menu log ou autre, j’ai un écran noir, plus rien ne passe ensuite ce matin et je finis par une erreur de connexion jeedom
Vous avez une idée d’ou le pb peut venir (en interne pas de pb) ?
Dans le navigateur j’ai une erreur : ERR_SSl_PROTOCOL_ERROR
A noter que jeeconnect lui a l’air de continuer à passer via cette URL en externe en accès ws
Je me demande si je n’ai pas loupé un truc sur le certificat
j’ai en fait un nom chez ovh de type mondomainetoto.ovh
j’ai créé une zone DNS de type jeedom.mondomainetoto.ovh
j’ai associé la zone jeedom.mondomainetoto.ovh à mon IP Publique IPV4 statique
sur jeedom j’ai créé le certif let’s encrypt via certbot sur ce nom DNS jeedom.mondomainetoto.ovh
en fait je n’ai rien sur mondomainetoto.ovh et je vois chez OVH que ce nom est renvoyé sur une IP que je ne connais pas (on dirait le site webmail d’OVH : 213.186.33.5)
en fait l’accès passe, mais rapidement cela est bloqué plus aucun accès
puis un bon moment apres cela peut repasser et se bloquer tout aussi rapidement en naviguant dans les menus jeedom avec donc un message comme quoi une connexion sécurisée au serveur n’a pu etre établie
il y a un truc que je ne comprends pas j’ai besoin d’une petite aide la
