Page 1 sur 4

Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 00:14
par JC38
Bonsoir,

J'avoue que je finis par me perdre avec les docs de Domoticz concernant l'aspect serveur web, SSL et sécurité.
Domoticz utilise son propre serveur web donc sans s'appuyer sur Nginx ?
Pour autant, il y a des fichiers de conf pour domoticz dans etc/nginx/sites/avalaible ce qui me laisse penser que nginx essaye de démarrer aussi un serveur sur le même port de domoticz puisque mon fichier de conf est sur 8080

Code : Tout sélectionner

access_log off;
add_header Cache-Control public;
server_tokens off;
server  {
   include    /etc/nginx/proxy_params;
   listen 443 ssl;
   keepalive_timeout 70;
   server_name localhost;
   ssl on;
   ssl_certificate             /etc/ssl/ca/server.crt;
   ssl_certificate_key         /etc/ssl/ca/server.key;
   add_header X-Frame-Options SAMEORIGIN;
   location / {
     proxy_pass http://localhost:8080/;
     access_log /var/log/nginx/domoticz.access.log;
     error_log /var/log/nginx/domoticz.error.log;
   }
}
Qu'en est-il au juste ? Ce fichier de conf est-il encore nécessaire ?
Les autres questions viendront plus tard :?

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 08:08
par jackslayter
c'est une image de domoticz (cartes SD) ?

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 08:12
par vil1driver
Salut,

Domoticz n'a besoin de nginx que pour l'accès httpS
Dans ce cas nginx sert d'intermédiaire
En gros lorsque tu te connectes sur
httpS://mon_ip_externe
(sous entendu port ssl TCP 443 à ouvrir sur la box)
tu tombes sur le serveur nginx
Et ce dernier suivant la conf que tu cites va te transférer sur
http://localhost:8080
(localhost = lui même)

L'avantage d'un accès httpS c'est que contrairement à un accès http, toutes les données à circuler sont cryptées (login compris). On le conçoit pour notre banque, peut-être un peu too much pour domoticz.. (mon avis)

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 08:37
par rimram31
vil1driver a écrit :...Domoticz n'a besoin de nginx que pour l'accès httpS...
Je pensais que c'était une question de version, domoticz ne supportant https a ses débuts puis support ensuite intégré "nativement" (l'option -sslwww 443 de démarrage). Dans ce cas nginx ne serait pas/plus nécessaire sauf a faire autre chose que du domoticz en web sur son pi.

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 08:53
par vil1driver
Ah c'est possible.. J'avoue ne pas avoir vraiment suivi cela.

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 09:14
par jackslayter
oui ngnix sert que si l'on veut pousser encore plus la sécurité avec son certificat, donc connexion impossible en https sans ce certificat

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 09:46
par vil1driver
heuu... au risque de dire une connerie (rimram31 me corrigera au besoin :D )

le certificat en SSL n'a jamais eu pour vocation d'interdire un accès, ce n'est pas du VPN.
le certificat n'est là que pour servir de pièce d'identité, histoire d'être certain que l'on est arrivé sur le bon site web et non un site d’hameçonnage.
mais cela n'est valable que si le certificat est validé par un service dédié.

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 09:53
par jackslayter
oui mais dans le cas du tuto ngnix , si tu vas sur internet avec ton adresse ip publique , et ba tu peux pas te connecter car tu n'as pas installé le certificat sur ton navigateur.

je peux te passer mon ip pour voir ce que cela fait (ip dynamique)

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 10:03
par vil1driver
je n'ai jamais eu de problème en l'absence de certificat, il suffit d'accepter la source non sure..

mais je veux bien tester effectivement.. je me trompe probablement

Re: Service web avec Domoticz (Raspberry)

Publié : 02 mars 2016, 11:10
par rimram31
Je ne suis pas spécialiste sécurité (tout étant relatif ...) mais sans certificat, pas de clefs et sans clef, pas de chiffrage :mrgreen: https://openclassrooms.com/courses/prot ... e-du-https Je ne parle pas de la signature d'un certificat qui est encore autre chose (qui elle est une validation de l'identité du propriétaire)

En jetant un oeil au manuel domoticz http://www.domoticz.com/DomoticzManual.pdf, apparemment dz attend un certificat au format pem dans le répertoire d'install ou donné via l'option de commande -sslcert file_path

Après mon bémol (de pro :-)) entre le choix domoticz ou nginx est que la sécurité ça évolue en permanence (https://www.tbs-certificats.com/FAQ/fr/ ... _sha1.html par exemple récemment) et que des outils comme nginx ou apache sont toujours uptodate avec les tutos qui vont bien, domoticz c'est moins évident. Personnellement, je me suis orienté vers du VPN pas chaud pour ouvrir du 443 chez moi (pas encore open VPN mais il faut que je m'y mette asap ...)

Pour appuyer ce que dit vil1driver, https ne permet pas de contrôle d'accès, son principe est de chiffrer/encoder ce qui est échangé. Si vous interceptez sur internet les échanges entre votre pc/mobile distant et votre routeur/box sur ce type de trafic, il est crypté et indéchiffrable (aux carences des algorithmes près, d'où la depreciation de certains récemment).