Exposer le port 80 sur le net pour lets'Encrypt dangeureux ?

D

dadoupipo

Nouveau membre
31 Octobre 2022
24
2
3
Bonjour

Comme indiqué : exposer le port 80 sur le net pour lets'Encrypt dangereux ?
A votre avis ? Tout le reste de mes accès se faisant en reverse proxy.

Merci pour votre expertise.
 
Salut,
Pour ma part j'ai un redirection web tu port 80 vers 443 qui donne sur une page statique. Même si le risque zero n’existe pas, il est presque nul.
Il faudrait une sacré faille pour exploiter cela.
 
Merci pour cette réponse, mais si l'on redirige le port 80 vers 443 (à quel niveau ?, au niveau du syno, je suppose), je ne comprend pas comment let's encrypt pourra se renouveler ?
car d'après les spécifications il lui faut le port 80 ?

Peux-tu m'expliquer un peu mieux cette démarche svp.

Merci
 
Je ne sais pas sur Syno, mais au niveau du serveur Web, tu doit avoir une fonction pour rediriger automatiquement le flux HTTP sur le HTTPS.
 
je n'utilise pas le syno comme serveur web.
Je l'utilise pour subsonic et ubooquity (serveur de musique et serveur ebooks et bds), et en local serveur de fichiers.
 
Bonjour,

Pour ma part j'utilise une regle du pare feu que j'active juste pour renouveler le certificat et ensuite je le desactive.
 
Let'encrypt a besoin du port 80 pour renouveler le certificat.
Je ne connais pas comment il procède, mais il le lui faut.

Donc je me pose la question est-ce dangereux car le certificat est renouvelé tous les 3 mois, donc laisser le port 80 ouvert en permanence ?
 
dadoupipo a dit:
Let'encrypt a besoin du port 80 pour renouveler le certificat.
Je ne connais pas comment il procède, mais il le lui faut.
Cliquez pour agrandir...

TCP/80 est nécessaire pour l'échange ACME, la suite de la validation se fait sur TCP/443 (cf. la RFC8555). ;)

dadoupipo a dit:
Donc je me pose la question est-ce dangereux car le certificat est renouvelé tous les 3 mois, donc laisser le port 80 ouvert en permanence ?
Cliquez pour agrandir...

Dangereux non car (et je parle pour Apache 2.4.x avec la configuration détaillée ci-dessous avec DSM 7.1.1-42962 Update 3) il n'y a pas de CVE critiques à ce jour.

Bash: 
root@<redacted>:~# httpd24 -V
Server version: Apache/2.4.54 (Unix)
Server built:   Oct 13 2022 14:56:58
Server's Module Magic Number: 20120211:124
Server loaded:  APR 1.5.2, APR-UTIL 1.5.4, PCRE 10.40 2022-04-14
Compiled using: APR 1.5.2, APR-UTIL 1.5.4, PCRE 10.40 2022-04-14
Architecture:   64-bit
Server MPM:     worker
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D BIG_SECURITY_HOLE
 -D SECURITY_HOLE_PASS_AUTHORIZATION
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/usr"
 -D SUEXEC_BIN="/usr/bin/suexec"
 -D DEFAULT_PIDLOG="/run/httpd/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="local/etc/apache24/conf/mime.types"
 -D SERVER_CONFIG_FILE="local/etc/apache24/conf/httpd24.conf"

Pour les utilisateurs de nginx, voir s'il y a des publications de CVE critiques le concernant.

Quant à laisser TCP/80 ouvert en permanence, si tu penses tout de même que cela reste dangereux, réfères-toi à ce message pour switcher automagiquement les règles du pare-feu du Nas pour le renouvellement des certificats TLS de Let's Encrypt.
 
Un grand merci
Comme j'ai plusieurs certificats, je vais laisser (c'est le cas) ouvert le port 80.

Merci encore
 
  • J'aime
Réactions: cooper
  • J'aime
Réactions: EVO
Vérifies quelle est la version d'Apache installée (info disponible dans le Centre de paquets) ou via une connexion ssh au Nas avec la commande httpd24 -V (ou httpd22 -V si Apache 2.2.x est installé)
 
Pour QTS (le système de QNAP) je ne sais pas.

Pour voir les modules disponibles avec apache, quatre solutions :
  1. utiliser httpd24 -M
  2. utiliser apachectl -M (si apachectl est disponible sur le système)
  3. utiliser apachectl -t -D DUMP_MODULES
  4. regarder le fichier de configuration global /volume1/@appstore/Apache2.4/usr/local/etc/apache24/conf/http24.conf
 
Dernière édition:
Merci :)

Voici le retour d'un QTS 5.0.1.2277 sur TS-453D :

Code: 
[~] # /usr/local/apache/bin/apache -v
Server version: Apache/2.4.54 (Unix)
Server built:   Jan 12 2023 03:51:45

[~] # /usr/local/apache/bin/apache -M
AH00558: apache: Could not reliably determine the server's fully qualified domain name, using 192.168.100.61. Set the 'ServerName' directive globally to suppress this message
Loaded Modules:
 core_module (static)
 so_module (static)
 http_module (static)
 mpm_worker_module (static)
 unixd_module (shared)
 access_compat_module (shared)
 authz_core_module (shared)
 filter_module (shared)
 mime_module (shared)
 setenvif_module (shared)
 socache_shmcb_module (shared)
 log_config_module (shared)
 rewrite_module (shared)
 alias_module (shared)
 actions_module (shared)
 dir_module (shared)
 autoindex_module (shared)
 http2_module (shared)
 deflate_module (shared)
 reqtimeout_module (shared)
 cgi_module (shared)
 version_module (shared)
 env_module (shared)
 authn_file_module (shared)
 authn_core_module (shared)
 authz_user_module (shared)
 auth_basic_module (shared)
 headers_module (shared)
 security2_module (shared)
 md_module (shared)
 ssl_module (shared)
 fastcgi_module (shared)
 proxy_module (shared)
 proxy_wstunnel_module (shared)

Il semblerai donc qu'il ne soit pas concerné non plus.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour