[RESOLU] Certificats et sécurisation sites

[rebeldu31]

Bonjour,

Je rencontre un problème de certificats et de sécurisation de mes sites web présents sur mes 2 RPI.

Ça fait pas mal de temps que je tourne en rond (environ 1 an), que je tente de trouver les réponses mais rien n'y fait !!

Voici mes 2 problèmes...

* Certificats HTTPS :

Depuis l'arrivée de mon RPI2, et la mise en place de mon cloud et mon mail privé, j'ai voulu mettre en place le HTTPS et le certificat qui va bien...

J'ai redirigé le port 443 vers mon RPI sur ma box, j'utilise donc 1 port externe "perso"...

Ça n'a jamais marché, j'ai toujours eu le "https" dans la barre URL du navigateur ainsi que le message d'avertissement de sécurité, que ce soit en local avec 192.x.x.x/monsite/ qu'à l'extérieur avec http://www.mondomaine.fr:XXXX/monsite/. Autant en local c'est pas bien grave, mais de l'extérieur si...

J'ai profité d'avoir reçu mon RPI3 pour reprendre à zéro la configuration car j'ai basculé mon cloud dessus, pour soulager mon RPI2 mais toujours pareil...

Pour effectuer la config j'ai suivi le tuto suivant à la lettre :

https://www.admin-linux.fr/autorite-de- ... s-openssl/

Et bien d'autres aussi !!!


* Sécurisation web :

Je souhaitais sécuriser mon web afin d'afficher une page 404 personnalisée, interdire l'accès à l'arborescence des sites et j'ai tenté le .htaccess et la config de virtualhost, rien n'y fait ça ne marche pas.

J'ai suivi un lot de tuto trouvés sur la toile...

Je ne sais vraiment plus quoi faire pour y arriver !!!

[destroyedlolo]

Salut,

réponse rapide paske pas trop le temps et ... ca fait un moment que je n'y ai plus touché
Si les tutos sont pour un Apache < 2.4.x, la syntaxe a passablement changée et donc tes .htaccess sont peut être simplement ignorés : pour voir si c'est le cas, crée un .htaccess avec n'importe quoi dedans.
Quand tu iras dans le répertoire, si tu ne te prend pas un erreur 500, c'est que tes .htaccess sont ignorés.

A+

[domi]

Bonjour,

Tu ne donnes pas le serveur web que tu utilises ?
Si c'est Apache, il faut vérifier que la directive "AllowOverride" soit sur "all" pour que le htaccess soit pris en compte.

Pour ton problème de certificat, il faut que tu le crées chez une autorité de certification officielle. Si c'est juste pour toi, il faut ajouter l'autorité que tu as créé dans les paramètres de ton navigateur.

[rebeldu31]

Bonjour,

J'utilise Apache oui... Je vais donc vérifier cette option...

Pour le certificat, j'ai bien créé l'autorité "perso", donc non-officielle, et je l'ai ajouté dans mon navigateur. Mais ça ne change rien...

[domi]

Pour le certificat, j'ai bien créé l'autorité "perso", donc non-officielle, et je l'ai ajouté dans mon navigateur. Mais ça ne change rien...

Donc la il y a un problème, car si l'autorité perso est ajoutée au navigateur client, ce navigateur doit reconnaître le certificat.

Par contre attention, selon votre configuration de l'autorité créée, il ne peut être valide qu'en réseau privé ou en réseau public, mais pas les deux.

[Korhm]

Pour la partie certificats, regarde du côté de Let's encrypt. Il y a tout plein de tuto sur le net
Ils proposent des certificats serveurs gratuit et dont l'autorité de certification est connue des différents naviguateurs.

Par contre il faut bien avoir en tête que ces certificats n'autentifient pas le serveur dans le sens où Let's encrypt ne viendra pas vérifier qui est le propriétaire du serveur (contrairement à des autorités payantes)
Mais par contre, toute la partie chiffrement des donnnées est bien présente, donc rien ne circule en clair

[rebeldu31]

Pour la partie certificats, regarde du côté de Let's encrypt. Il y a tout plein de tuto sur le net
Ils proposent des certificats serveurs gratuit et dont l'autorité de certification est connue des différents naviguateurs.

Par contre il faut bien avoir en tête que ces certificats n'autentifient pas le serveur dans le sens où Let's encrypt ne viendra pas vérifier qui est le propriétaire du serveur (contrairement à des autorités payantes)
Mais par contre, toute la partie chiffrement des donnnées est bien présente, donc rien ne circule en clair

J'ai vu en effet qu'il y avait des fournisseurs de certificats gratuits, type let's encrypt et startssl.
Je vais y regarder de plus près.

[rebeldu31]

Bonjour,

Si c'est Apache, il faut vérifier que la directive "AllowOverride" soit sur "all" pour que le htaccess soit pris en compte.

Tester !!!
Rien n'y fait... J'accède au contenu du répertoire !!!
Seule solution : mettre un index.html personnalisé avec message 404 !!!

[domi]

Que veux tu faire ?
Si c'est ne pas accéder au contenu du dossier c'est pas la même chose. De mémoire c'était quelque chose du genre "Options -Indexes", mais il faudrait que je fasse une recherche, ne serai-ce que vérifier si c'est toujours d'actualité sur les dernière version.

[rebeldu31]

Alors, mon souhait :

- lorsque l'URL www.mondomaine.fr/ est saisit, ne pas pouvoir lire le contenu du répertoire (tout est sous /var/www/html/) ; seuls les www.mondomaine.fr/monsite/ doivent être autorisés ;
- afficher des pages d'erreurs personnalisées (surtout 404)

Idem pour les URL www.mondomaine.fr/monsite/une_page_inexistante : pas de lecture du répertoire et page d'erreur.

Beaucoup de tuto montre comment demander un mot de passe pour lire les contenus ainsi que spécifier la page d'erreur perso, mais malgré tout ça ne fonctionne pas !!!