Page 1 sur 1

Pb certificat auto-signé

Publié : 13 janv. 2024, 15:40
par Limousin19
Bonjour,

J'ai Domoticz (dernière version màj) sur un Raspberry Pi derrière une Freebox Pop avec nom de domaine et IPFullstack.
J'ai fait une redirection du trafic externe vers le port 443 et jusqu'à une période récente, les accès fonctionnaient correctement depuis l'extérieur, aussi bien sur PC que depuis mon Smartphone, avec Chrome et Mozilla.

J'utilise le certificat auto-signé d'origine de Domoticz.com valable jusqu'en 2025.

Depuis une mise à jour probable des navigateurs, l'accès est bloqué pour cause de certificat auto-signé

Code : Tout sélectionner

message : Le certificat n’est pas sûr, car il est auto-signé. 
Code d’erreur : MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT. 
J'ai déjà rencontré ce problème dans le passé, mais on pouvait faire une exception et continuer, ce qui ne semble plus possible désormais (le lien "avancé..." ne le permet pas).

J'ai cependant réussi un accès externe sur le Smartphone avec un ancien navigateur Samsung que j'utilise rarement. Ceci me conforte dans l'idée que c'est bien un problème de certificat qui bloque l'accès et pas de configuration ni de routage. Mais je ne vois pas comment utiliser un certificat qui ne serait pas auto-signé, ni comment contourner l'interdiction.

Re: Pb certificat auto-signé

Publié : 13 janv. 2024, 16:42
par lost
Le navigateurs, surtout sur mobile, sont en effet de plus en plus stricts et ne permettent plus forcément les exceptions... puis le handicap, pour des gens qui comme moi les configurent pour tout rincer à la fermeture (cookies, données liées à des sites, historique...) histoire de ne pas accumuler les traceurs divers de pubeux c'était pénible de devoir remettre les exceptions après...

Alors la solution pratique à ce dernier problème de toujours et à celui croissant du plus d'exceptions: Let's Encrypt, pour ne plus avoir un certificat autosigné...

Le wiki domoticz anglophone était complet quand je l'avais fait. Juste dû adapter les scripts de hook pour le renouvellement automatique, qui utilise le port http/80 (le script monte son propre serveur à ce moment) ce faisant, afin d'ouvrir/fermer le firewall (ufw sous debian pour ma part) sur ce port niveau PI (ne pouvant le faire côté box, orange pour ma part, faute d'API: De ce côté c'est ouvert vers le PI tout le temps et c'est le PI qui bloque, hors qq secondes de renouvellement tous les 3 ou 6 mois).

Re: Pb certificat auto-signé

Publié : 14 janv. 2024, 03:46
par Limousin19
Merci lost, pour ces commentaires.
Si j'ai bien compris, Let’s encrypt serait la solution, mais je vais avoir des problèmes au moment du renouvellement du certificat, c'est bien ça ? (J'ai du mal à suivre le dernier paragraphe de ton post, car je ne connais pas le contexte avec le firewall dont tu parles...)
Du coup je me demande si le remède ne sera pas pire que le mal...

Re: Pb certificat auto-signé

Publié : 14 janv. 2024, 14:18
par Limousin19
Bonjour lost,
Le wiki anglo-saxon dont tu parles est-il celui-ci ?

Re: Pb certificat auto-signé

Publié : 14 janv. 2024, 18:01
par lost
Hello,

Oui, c'est bien ce wiki. C'est de là que j'étais parti initialement sans grosses difficultés pour adapter à mon cas.

J'avais par ailleurs posté mes notes d'installation MAJ il y a 1 an quand j'avais fait ma première réinstall complète depuis 2016 (afin de passer à une raspbian+domoticz 64 bit sur mon PI3B compatible) récemment ici:

viewtopic.php?p=118107#p118107

Avec le script (unique) tiré par les liens symboliques des hooks de renouvellement let's encrypt.

En complément, ma config ufw (firewall du PI), en "default deny", n'autorise que ces ports (https/443 de partout, 8080 sur mon seul réseau local). Le script peut s'adapter pour qui veut gérer direct via iptables plutôt que le ufw qui simplifie son usage (AMHA suffisant pour un usage personnel):

Code : Tout sélectionner

sudo ufw status

To                         Action      From
--                         ------      ----
443/tcp                    ALLOW       Anywhere                  
192.168.1.31 8080/tcp      ALLOW       192.168.1.0/24
On trouve partout sur le net (ou man ufw, après l'avoir installé) des tutos pour arriver à ce résultat.

Re: Pb certificat auto-signé

Publié : 14 janv. 2024, 20:01
par Limousin19
Merci pour tes explications, et le wiki qui est très détaillé.
J'ai de quoi m'occuper pendant les longues soirées d'hiver ;)
Bonne soirée !

Re: Pb certificat auto-signé

Publié : 15 janv. 2024, 08:11
par lost
Je ne me souviens pas forcément de tout, mais pas souvenir de difficultés particulières. Surtout quand on a déjà mis en place un nom de domaine. Attention toutefois a un truc : changer le script de demarrage domoticz pour mettre un nom certif perso différent de l'auto signé. Sinon a chaque upgrade domoticz son certif perso est écrasé par l'auto signé extrait de l'archive.

Re: Pb certificat auto-signé

Publié : 15 janv. 2024, 11:59
par Limousin19
Ok, mon nom de domaine n'est qu'un sous-domaine de freeboxos.fr. Est-ce que le fait d'être derrière une Freebox peut poser problème ?

PS : je signale à tout hasard que le navigateur Opéra permet encore d'outrepasser le refus de connexion en https avec certificat auto-signé, contrairement à Chrome et Mozilla.

Re: Pb certificat auto-signé

Publié : 15 janv. 2024, 14:27
par lost
Je ne pense pas. Du moment qu'il y a résolution DNS sur ton sous-domaine (et vu que tu arrivais à t'y connecter du dehors avant les pb de certif auto-signés, c'est forcément que l'on sait associer ce nom à ton adresse IP, cad que tu es dans "l'annuaire" qu'est le DNS, pour schématiser) cela devrait aller.

Pour voir les infos DNS, la commande pour "creuser" dans les enregistrements, c'est... dig!

Ex avec google.fr, en utilisant le DNS du système:

Code : Tout sélectionner

dig google.fr
Avec un dns alternatif (genre celui de google avec une IPv4 facile à retenir: 8.8.8.8):

Code : Tout sélectionner

dig 8.8.8.8 google.fr
Tu peux essayer sur ton sous-domaine.

Re: Pb certificat auto-signé

Publié : 15 janv. 2024, 14:51
par Limousin19
Super ! Merci pour le tuyau !