Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
denis_brasseur
Messages : 898
Inscription : 24 déc. 2018, 17:05
Localisation : (26)

Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par denis_brasseur »

Bonjour.
Je suis un peu perdu. Dans le but de sécuriser mes connexions à Domoticz via l'extérieur, j'essaye désespérément de configurer Lets Encrypt.
Pour cela, je suis le wiki Native secure access with Lets Encrypt
Le wiki part un peu dans tout les sens, on parle de cerbot., puis on embraille sur l'installation de letsencrypt.
Rien n'est très clair.
En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Vos retours sont les bienvenus.
Pi3 + DD PiDrive - RFXtrx433 - AEON Labs ZW090
Chrominator
Messages : 1042
Inscription : 19 déc. 2015, 07:29
Localisation : France

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Chrominator »

Difficile de vraiment t'aider car ça fait plusieurs années que j'ai installé ces certificats, mais à l'époque j'avais utilisé certbot pour la configuration et l'installation.
Tout est automatique maintenant, on a plus besoin de renouveler le certif manuellement tous les 3 mois comme au début.

Si tu n'en a pas, il te faudra un nom de domaine, domaine qui servira aux dns à mapper ce nom avec l'adresse IP de ton dz.
Certains sont payants d'autres gratuits, il faut chercher.

La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.

Essaye de regarder dans cette direction, et aussi , mais ce dernier est vraiment trop vieux. ;)
Un bon frein vaut mieux que deux sparadraps.

Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Flying Domotic
Messages : 772
Inscription : 10 mars 2020, 15:26

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Flying Domotic »

denis_brasseur a écrit : 07 nov. 2025, 14:27 En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPN ;-). Attention, ça n'a rien à voir avec les VPN commerciaux qui ne font que cacher ton adresse lorsque tu vas surfer (donc avec un intérêt ... faible).

Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Keros »

Si je ne dis pas de bêtises, avoir un certificat permet d'avoir une connexion HTTPS à l'intérieur de laquelle les données sont cryptées. Par exemple, le mot de passe n'est pas envoyé en clair.

Maintenant, un certificat c'est bien pour exposer un service en ligne. Mais cela présente des risques d'attaques.

Le VPN permet de minimiser ses risques en réduisant la "surface exposée" en n'autorisant seulement qu'un tunnel authentifié dans lequel tu peux accéder aux services qui sont en interne chez toi.

Il y a aussi des services comme Tailscale, Netbird, TwinGate qui, via un serveur externe, permettent de mettre en relation deux ou plusieurs équipements séparés sans avoir à ouvrir des ports d'un côté ou d'un autre. C'est facile à mettre en place, gratuit avec une petite utilisation. Cela nécessite de faire confiance au serveur externe/de l'éditeur.
denis_brasseur a écrit : 07 nov. 2025, 14:27 mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port
Là, dans ce cas, si quelqu'un analyse ton trafic, il sera capable voir tout le contenu de ce que tu affiches et de lire/récupérer ton mot de passe de connexion à DomoticZ.
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
denis_brasseur
Messages : 898
Inscription : 24 déc. 2018, 17:05
Localisation : (26)

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par denis_brasseur »

Chrominator a écrit : 07 nov. 2025, 17:29 La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.

Essaye de regarder dans cette direction
Merci Chrominator, j'avais bien pointé sur ce tuto via le site de certbot.
Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
Flying Domotic a écrit : 07 nov. 2025, 18:56
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPN ;-). Attention, ça n'a rien à voir avec les VPN commerciaux qui ne font que cacher ton adresse lorsque tu vas surfer (donc avec un intérêt ... faible).

Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)
Merci Flying Domotic, j'y vois maintenant clair sur le rôle d'un certificat Let's Encrypt et d'un serveur OpenVPN.
J'ai configuré ce matin un vpn via ce tuto
OpenVPN : Installer un Serveur VPN sur Raspberry Pi
Après quelques soucis de redirection du port du VPN, ça à l'air de fonctionner avec mon domaine no-ip.

Merci Keros également pour ce complément

Un grand merci à vous 3 pour votre aide.
Pi3 + DD PiDrive - RFXtrx433 - AEON Labs ZW090
Chrominator
Messages : 1042
Inscription : 19 déc. 2015, 07:29
Localisation : France

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Chrominator »

L'intérêt de laisser le port 443 ouvert pour une connexion https est de pouvoir accéder à ta page même à partir de stations sur lesquelles tu n'as pas la possibilité d'utiliser ton propre vpn (ordinateurs en libre accès, ordinateurs de ton employeur, etc...)

Perso ma box sur ce port 443 renvoie sur un Raspberry pi qui sert de webserver proxy lui-même procurant l'accès à Domoticz.
Ceci est complété par l'activation des firewalls sur les deux machines qui ne laissent que peu de ports/IP ouverts, et d'un fail2ban.

Ça me paraît suffisant jusqu'à présent, je peux accéder à mon système à distance avec n'importe quel appareil connecté à internet ayant un navigateur.

Le vpn je le garde pour un accès à distance plus risqué, comme un terminal par exemple.
Un bon frein vaut mieux que deux sparadraps.

Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par lost »

denis_brasseur a écrit : 08 nov. 2025, 06:16 Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
Personnellement, j'avais laissé ce port ouvert côté box vers le seul PI... et fermé sur le FW (ufw) du PI, qui l'ouvre juste le temps du renouvellement (de mémoire on a possibilité d'accrocher des scripts de hook avant/après renouvellement ou on ouvre puis referme).
C'est également ancien et fonctionne sans souci depuis des années. Mais au besoin je dois avoir des notes (il me semble même avoir donné des billes sur ce forum ou l'anglophone). Je m'étais basé de mémoire sur le wiki, avec qq adaptations du genre de celle citée: Si agir sur la config box est difficile, agir sur le FW local du PI est aisé...
Flying Domotic
Messages : 772
Inscription : 10 mars 2020, 15:26

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Flying Domotic »

Je vais probablement boucler, mais si le serveur n'a pas d'accès "grand public", un simple certificat auto-signé suffit à crypter les trames IP sur Internet, sans avoir besoin de la surcouche Let's Encryot (et donc pas de port 80 à ouvrir).
Chrominator
Messages : 1042
Inscription : 19 déc. 2015, 07:29
Localisation : France

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Chrominator »

Flying Domotic a écrit : 08 nov. 2025, 15:34 Je vais probablement boucler [...]
Moi aussi :D, juste pour dire que certaines infrastructures réseau ne permettent pas de visiter les sites disposant de certificats auto-signés, ce qui rend l'ensemble un peu moins "tout-terrain".
Un bon frein vaut mieux que deux sparadraps.

Ubuntu 24.04.3 LTS - Domoticz 2025.1 (build 16782)
Pentium G3220T 2.6GHz - 4Go DDR3
RFXtrx433 USB Ver Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway
Zigbee SLZB-06
Flying Domotic
Messages : 772
Inscription : 10 mars 2020, 15:26

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Message par Flying Domotic »

Ne pas oublier quand même qu'en général un téléphone portable permet de se connecter sur Domoticz, et que la majorité supporte la possibilité de valider les certificats auto-signés, et permet même d'installer un VPN.

Maintenant, si tu es dans une grande entreprise, avec des restrictions d'accès et un brouillage du téléphone, t'es mal !
Répondre