Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
-
denis_brasseur
- Messages : 898
- Inscription : 24 déc. 2018, 17:05
- Localisation : (26)
Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Bonjour.
Je suis un peu perdu. Dans le but de sécuriser mes connexions à Domoticz via l'extérieur, j'essaye désespérément de configurer Lets Encrypt.
Pour cela, je suis le wiki Native secure access with Lets Encrypt
Le wiki part un peu dans tout les sens, on parle de cerbot., puis on embraille sur l'installation de letsencrypt.
Rien n'est très clair.
En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Vos retours sont les bienvenus.
Je suis un peu perdu. Dans le but de sécuriser mes connexions à Domoticz via l'extérieur, j'essaye désespérément de configurer Lets Encrypt.
Pour cela, je suis le wiki Native secure access with Lets Encrypt
Le wiki part un peu dans tout les sens, on parle de cerbot., puis on embraille sur l'installation de letsencrypt.
Rien n'est très clair.
En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Vos retours sont les bienvenus.
Pi3 + DD PiDrive - RFXtrx433 - AEON Labs ZW090
-
Chrominator
- Messages : 1042
- Inscription : 19 déc. 2015, 07:29
- Localisation : France
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Difficile de vraiment t'aider car ça fait plusieurs années que j'ai installé ces certificats, mais à l'époque j'avais utilisé certbot pour la configuration et l'installation.
Tout est automatique maintenant, on a plus besoin de renouveler le certif manuellement tous les 3 mois comme au début.
Si tu n'en a pas, il te faudra un nom de domaine, domaine qui servira aux dns à mapper ce nom avec l'adresse IP de ton dz.
Certains sont payants d'autres gratuits, il faut chercher.
La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.
Essaye de regarder dans cette direction, là et aussi là, mais ce dernier est vraiment trop vieux.
Tout est automatique maintenant, on a plus besoin de renouveler le certif manuellement tous les 3 mois comme au début.
Si tu n'en a pas, il te faudra un nom de domaine, domaine qui servira aux dns à mapper ce nom avec l'adresse IP de ton dz.
Certains sont payants d'autres gratuits, il faut chercher.
La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.
Essaye de regarder dans cette direction, là et aussi là, mais ce dernier est vraiment trop vieux.
Un bon frein vaut mieux que deux sparadraps.
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
-
Flying Domotic
- Messages : 772
- Inscription : 10 mars 2020, 15:26
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPNdenis_brasseur a écrit : 07 nov. 2025, 14:27 En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Si je ne dis pas de bêtises, avoir un certificat permet d'avoir une connexion HTTPS à l'intérieur de laquelle les données sont cryptées. Par exemple, le mot de passe n'est pas envoyé en clair.
Maintenant, un certificat c'est bien pour exposer un service en ligne. Mais cela présente des risques d'attaques.
Le VPN permet de minimiser ses risques en réduisant la "surface exposée" en n'autorisant seulement qu'un tunnel authentifié dans lequel tu peux accéder aux services qui sont en interne chez toi.
Il y a aussi des services comme Tailscale, Netbird, TwinGate qui, via un serveur externe, permettent de mettre en relation deux ou plusieurs équipements séparés sans avoir à ouvrir des ports d'un côté ou d'un autre. C'est facile à mettre en place, gratuit avec une petite utilisation. Cela nécessite de faire confiance au serveur externe/de l'éditeur.
Maintenant, un certificat c'est bien pour exposer un service en ligne. Mais cela présente des risques d'attaques.
Le VPN permet de minimiser ses risques en réduisant la "surface exposée" en n'autorisant seulement qu'un tunnel authentifié dans lequel tu peux accéder aux services qui sont en interne chez toi.
Il y a aussi des services comme Tailscale, Netbird, TwinGate qui, via un serveur externe, permettent de mettre en relation deux ou plusieurs équipements séparés sans avoir à ouvrir des ports d'un côté ou d'un autre. C'est facile à mettre en place, gratuit avec une petite utilisation. Cela nécessite de faire confiance au serveur externe/de l'éditeur.
Là, dans ce cas, si quelqu'un analyse ton trafic, il sera capable voir tout le contenu de ce que tu affiches et de lire/récupérer ton mot de passe de connexion à DomoticZ.denis_brasseur a écrit : 07 nov. 2025, 14:27 mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
-
denis_brasseur
- Messages : 898
- Inscription : 24 déc. 2018, 17:05
- Localisation : (26)
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Merci Chrominator, j'avais bien pointé sur ce tuto via le site de certbot.Chrominator a écrit : 07 nov. 2025, 17:29 La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.
Essaye de regarder dans cette direction
Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
Merci Flying Domotic, j'y vois maintenant clair sur le rôle d'un certificat Let's Encrypt et d'un serveur OpenVPN.Flying Domotic a écrit : 07 nov. 2025, 18:56
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPN. Attention, ça n'a rien à voir avec les VPN commerciaux qui ne font que cacher ton adresse lorsque tu vas surfer (donc avec un intérêt ... faible).
Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)
J'ai configuré ce matin un vpn via ce tuto
OpenVPN : Installer un Serveur VPN sur Raspberry Pi
Après quelques soucis de redirection du port du VPN, ça à l'air de fonctionner avec mon domaine no-ip.
Merci Keros également pour ce complément
Un grand merci à vous 3 pour votre aide.
Pi3 + DD PiDrive - RFXtrx433 - AEON Labs ZW090
-
Chrominator
- Messages : 1042
- Inscription : 19 déc. 2015, 07:29
- Localisation : France
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
L'intérêt de laisser le port 443 ouvert pour une connexion https est de pouvoir accéder à ta page même à partir de stations sur lesquelles tu n'as pas la possibilité d'utiliser ton propre vpn (ordinateurs en libre accès, ordinateurs de ton employeur, etc...)
Perso ma box sur ce port 443 renvoie sur un Raspberry pi qui sert de webserver proxy lui-même procurant l'accès à Domoticz.
Ceci est complété par l'activation des firewalls sur les deux machines qui ne laissent que peu de ports/IP ouverts, et d'un fail2ban.
Ça me paraît suffisant jusqu'à présent, je peux accéder à mon système à distance avec n'importe quel appareil connecté à internet ayant un navigateur.
Le vpn je le garde pour un accès à distance plus risqué, comme un terminal par exemple.
Perso ma box sur ce port 443 renvoie sur un Raspberry pi qui sert de webserver proxy lui-même procurant l'accès à Domoticz.
Ceci est complété par l'activation des firewalls sur les deux machines qui ne laissent que peu de ports/IP ouverts, et d'un fail2ban.
Ça me paraît suffisant jusqu'à présent, je peux accéder à mon système à distance avec n'importe quel appareil connecté à internet ayant un navigateur.
Le vpn je le garde pour un accès à distance plus risqué, comme un terminal par exemple.
Un bon frein vaut mieux que deux sparadraps.
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Personnellement, j'avais laissé ce port ouvert côté box vers le seul PI... et fermé sur le FW (ufw) du PI, qui l'ouvre juste le temps du renouvellement (de mémoire on a possibilité d'accrocher des scripts de hook avant/après renouvellement ou on ouvre puis referme).denis_brasseur a écrit : 08 nov. 2025, 06:16 Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
C'est également ancien et fonctionne sans souci depuis des années. Mais au besoin je dois avoir des notes (il me semble même avoir donné des billes sur ce forum ou l'anglophone). Je m'étais basé de mémoire sur le wiki, avec qq adaptations du genre de celle citée: Si agir sur la config box est difficile, agir sur le FW local du PI est aisé...
-
Flying Domotic
- Messages : 772
- Inscription : 10 mars 2020, 15:26
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Je vais probablement boucler, mais si le serveur n'a pas d'accès "grand public", un simple certificat auto-signé suffit à crypter les trames IP sur Internet, sans avoir besoin de la surcouche Let's Encryot (et donc pas de port 80 à ouvrir).
-
Chrominator
- Messages : 1042
- Inscription : 19 déc. 2015, 07:29
- Localisation : France
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Moi aussi
Un bon frein vaut mieux que deux sparadraps.
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
-
Flying Domotic
- Messages : 772
- Inscription : 10 mars 2020, 15:26
Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)
Ne pas oublier quand même qu'en général un téléphone portable permet de se connecter sur Domoticz, et que la majorité supporte la possibilité de valider les certificats auto-signés, et permet même d'installer un VPN.
Maintenant, si tu es dans une grande entreprise, avec des restrictions d'accès et un brouillage du téléphone, t'es mal !
Maintenant, si tu es dans une grande entreprise, avec des restrictions d'accès et un brouillage du téléphone, t'es mal !