Page 1 sur 2

Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 07 nov. 2025, 14:27
par denis_brasseur
Bonjour.
Je suis un peu perdu. Dans le but de sécuriser mes connexions à Domoticz via l'extérieur, j'essaye désespérément de configurer Lets Encrypt.
Pour cela, je suis le wiki Native secure access with Lets Encrypt
Le wiki part un peu dans tout les sens, on parle de cerbot., puis on embraille sur l'installation de letsencrypt.
Rien n'est très clair.
En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Vos retours sont les bienvenus.

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 07 nov. 2025, 17:29
par Chrominator
Difficile de vraiment t'aider car ça fait plusieurs années que j'ai installé ces certificats, mais à l'époque j'avais utilisé certbot pour la configuration et l'installation.
Tout est automatique maintenant, on a plus besoin de renouveler le certif manuellement tous les 3 mois comme au début.

Si tu n'en a pas, il te faudra un nom de domaine, domaine qui servira aux dns à mapper ce nom avec l'adresse IP de ton dz.
Certains sont payants d'autres gratuits, il faut chercher.

La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.

Essaye de regarder dans cette direction, et aussi , mais ce dernier est vraiment trop vieux. ;)

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 07 nov. 2025, 18:56
par Flying Domotic
denis_brasseur a écrit : 07 nov. 2025, 14:27 En résumé, mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port, que dois-je mettre en place pour sécuriser ma connexion ?
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPN ;-). Attention, ça n'a rien à voir avec les VPN commerciaux qui ne font que cacher ton adresse lorsque tu vas surfer (donc avec un intérêt ... faible).

Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 07 nov. 2025, 21:07
par Keros
Si je ne dis pas de bêtises, avoir un certificat permet d'avoir une connexion HTTPS à l'intérieur de laquelle les données sont cryptées. Par exemple, le mot de passe n'est pas envoyé en clair.

Maintenant, un certificat c'est bien pour exposer un service en ligne. Mais cela présente des risques d'attaques.

Le VPN permet de minimiser ses risques en réduisant la "surface exposée" en n'autorisant seulement qu'un tunnel authentifié dans lequel tu peux accéder aux services qui sont en interne chez toi.

Il y a aussi des services comme Tailscale, Netbird, TwinGate qui, via un serveur externe, permettent de mettre en relation deux ou plusieurs équipements séparés sans avoir à ouvrir des ports d'un côté ou d'un autre. C'est facile à mettre en place, gratuit avec une petite utilisation. Cela nécessite de faire confiance au serveur externe/de l'éditeur.
denis_brasseur a écrit : 07 nov. 2025, 14:27 mon domoticz de test est ouvert sur l'extérieur en http via l'ouverture de port
Là, dans ce cas, si quelqu'un analyse ton trafic, il sera capable voir tout le contenu de ce que tu affiches et de lire/récupérer ton mot de passe de connexion à DomoticZ.

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 06:16
par denis_brasseur
Chrominator a écrit : 07 nov. 2025, 17:29 La principale difficulté est de bien penser que durant la création du certificat, certbot va essayer d'atteindre le domaine de ta machine sur le port 80, qu'il faut ouvrir sur ta box, sans quoi ce sera un échec.
Et au terme de plusieurs échecs, on ne peut plus essayer, il faut attendre un délai.

Essaye de regarder dans cette direction
Merci Chrominator, j'avais bien pointé sur ce tuto via le site de certbot.
Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
Flying Domotic a écrit : 07 nov. 2025, 18:56
Un serveur OpenVPN sur ton réseau, histoire de n'autoriser que des connexions VPN entrantes. Seules les machines ayant un certificat (privé, même pas Let's Encrypt) généré par toi seront autorisés à se connecter sur ton réseau (aux bugs près d'OpenVPN ;-). Attention, ça n'a rien à voir avec les VPN commerciaux qui ne font que cacher ton adresse lorsque tu vas surfer (donc avec un intérêt ... faible).

Le certificat Let's Encrypt ne protège ABSOLUMENT RIEN ! Il évite juste un message d'erreur lors d'une connexion HTTPS sur ton serveur (que tu peux contourner en mettant une exception dans ton navigateur)
Merci Flying Domotic, j'y vois maintenant clair sur le rôle d'un certificat Let's Encrypt et d'un serveur OpenVPN.
J'ai configuré ce matin un vpn via ce tuto
OpenVPN : Installer un Serveur VPN sur Raspberry Pi
Après quelques soucis de redirection du port du VPN, ça à l'air de fonctionner avec mon domaine no-ip.

Merci Keros également pour ce complément

Un grand merci à vous 3 pour votre aide.

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 11:13
par Chrominator
L'intérêt de laisser le port 443 ouvert pour une connexion https est de pouvoir accéder à ta page même à partir de stations sur lesquelles tu n'as pas la possibilité d'utiliser ton propre vpn (ordinateurs en libre accès, ordinateurs de ton employeur, etc...)

Perso ma box sur ce port 443 renvoie sur un Raspberry pi qui sert de webserver proxy lui-même procurant l'accès à Domoticz.
Ceci est complété par l'activation des firewalls sur les deux machines qui ne laissent que peu de ports/IP ouverts, et d'un fail2ban.

Ça me paraît suffisant jusqu'à présent, je peux accéder à mon système à distance avec n'importe quel appareil connecté à internet ayant un navigateur.

Le vpn je le garde pour un accès à distance plus risqué, comme un terminal par exemple.

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 15:05
par lost
denis_brasseur a écrit : 08 nov. 2025, 06:16 Mon problème provient de l'impossibilité d'ouvrir le port 80, j'étais arrivé à cette même conclusion.
Personnellement, j'avais laissé ce port ouvert côté box vers le seul PI... et fermé sur le FW (ufw) du PI, qui l'ouvre juste le temps du renouvellement (de mémoire on a possibilité d'accrocher des scripts de hook avant/après renouvellement ou on ouvre puis referme).
C'est également ancien et fonctionne sans souci depuis des années. Mais au besoin je dois avoir des notes (il me semble même avoir donné des billes sur ce forum ou l'anglophone). Je m'étais basé de mémoire sur le wiki, avec qq adaptations du genre de celle citée: Si agir sur la config box est difficile, agir sur le FW local du PI est aisé...

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 15:34
par Flying Domotic
Je vais probablement boucler, mais si le serveur n'a pas d'accès "grand public", un simple certificat auto-signé suffit à crypter les trames IP sur Internet, sans avoir besoin de la surcouche Let's Encryot (et donc pas de port 80 à ouvrir).

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 15:48
par Chrominator
Flying Domotic a écrit : 08 nov. 2025, 15:34 Je vais probablement boucler [...]
Moi aussi :D, juste pour dire que certaines infrastructures réseau ne permettent pas de visiter les sites disposant de certificats auto-signés, ce qui rend l'ensemble un peu moins "tout-terrain".

Re: Native secure access with Lets Encrypt (ou comment sécuriser ma connexion ?)

Publié : 08 nov. 2025, 16:03
par Flying Domotic
Ne pas oublier quand même qu'en général un téléphone portable permet de se connecter sur Domoticz, et que la majorité supporte la possibilité de valider les certificats auto-signés, et permet même d'installer un VPN.

Maintenant, si tu es dans une grande entreprise, avec des restrictions d'accès et un brouillage du téléphone, t'es mal !