Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie Console de gestion → Console à distance
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 3.2.0
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso

Bonjour,

Suite à la mise en version 3.3.0 (non disponible dans le choix de version dans le tracker), il est possible de configurer la freebox pour demander un certificat Let’s Encrypt quand celle-ci est configurée pour utiliser le domaine *.freeboxos.fr

Pourriez-vous ajouter la possibilité de demander aussi un certificat Let’s Encrypt quand la freebox est configuré sur un nom de domaine perso ?

Je ne vois pas trop la restriction sur le fait d’utiliser un nom de domaine perso au lieu de *.freeboxos.fr sachant que Let’s Encrypt fais une vérification DNS ou un HTTP GET pour s’assurer de la légitimité de la demande.

Merci d’avance

Cette tache ne dépend pas d'autre tache

Romain FLIEDEL (rfliedel)
mardi 2 février, 2016 14:58:27

et je fais comment pour modifier votre dns ?
La vérification http n'est pas possible pour toutes les freebox, et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.

Jonathan Leroy (jleroy)
mardi 2 février, 2016 16:02:08

Il suffit d'utiliser le challenge "tls-sni-01".

guillaume.francois55 (guillaume.francois55)
mardi 2 février, 2016 16:07:08

et je fais comment pour modifier votre dns ?
→ Un truc du style mettre deux étapes en plus pour indiquer le champ DNS à mettre jour et confirmer la modification

La vérification http n'est pas possible pour toutes les freebox
→ je ne savais pas que tous les services était disponibles sur toutes les freebox.

et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.
→ démarrer un serveur web 5 minutes avec l'option native du client "–standalone Run a standalone webserver for authentication" par exemple ou un serveur autre sur la box
→ mettre une règle temporaire qui redirige soit:

  1. tout le trafic vers le port 80 le temps de la vérification vers ce serveur (30 sec ?) avec un message qui explique le "downtime"
  2. uniquement depuis les serveurs de vérification let's encrypt vers le 80 de ce serveur

Vu le contenu de la réponse, j'en déduit que la freebox interagit d'une quelconque manière avec le serveur sur le domaine freeboxos.fr pour le fichier de validation HTTP que ce n'est pas le moteur qui fournit l'interface FreeboxOS qui gère cette partie.

Jonathan Leroy (jleroy)
mardi 2 février, 2016 16:26:08

Autre solution : demander à l'utilisateur de créer un second CNAME utilisé pour l'autorisation.

Exemple pour freebox.mondomaine.tld:
- freebox.mondomaine.tld CNAME vers XXXXXX.fbxos.fr.
- _acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr

Ensuite il vous suffit de créer l'enregistrement TXT qui va bien sur XXXXXX.auth.fbxos.fr.

Jonathan Leroy (jleroy)
mardi 2 février, 2016 16:32:02

_acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr

Voir même vers _acme-challenge.XXXXXX.fbxos.fr, comme ça vous n'avez rien à modifier côté DNS par rapport au système actuel.

Arthur Speer (aspeer)
dimanche 4 juin, 2017 15:07:35

Un CNAME sur _acme-challenge permettrait à Free d'obtenir des certificats pour le domaine utilisé (indépendamment de la freebox), ce qui peut ne pas être acceptable pour certains utilisateurs. Une meilleure méthode pour l'automatisation des renouvellements serait d'utiliser les APIs des registrars et hébergeurs DNS pour mettre à jour les enregistrements (de préférence en permettant d'ajouter des plugins pour ceux n'étant pas inclus), comme le font déjà certains autres clients ACME.

Dans tous les cas, au minimum l'ajout manuel des enregistrements DNS devrait être supporté. C'est la méthode la plus simple à implémenter (puisqu'à l'exception de l'affichage elle est la base de toutes les autres) et celle qui a le moins d'implications en termes de sécurité.

Neustradamus (Neustradamus)
jeudi 12 avril, 2018 12:50:01

Est-ce toujours d'actualité ?

Neustradamus (Neustradamus_)
vendredi 28 août, 2020 12:18:05

Ces tickets sont en liens :

FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso :
- https://dev.freebox.fr/bugs/task/19569

FS#19842 - API pour la gestion des certificats et des noms de domaine :
- https://dev.freebox.fr/bugs/task/19842

FS#22265 - Let's encrypt certificate renew :
- https://dev.freebox.fr/bugs/task/22265

FS#29209 - Mettre à jour les certificats TLS de nom de domaine perso :
- https://dev.freebox.fr/bugs/task/29209

fabfab (fabfab)
vendredi 13 août, 2021 13:37:52

Est-ce que quelque chose se profile à ce niveau ? L'utilisation d'un certificat let's encrypt est ingérable manuellement sur freebox OS

Chargement...