Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category Console de gestion → Console à distance
  • Assigned To No-one
  • Operating System Tous
  • Severity Medium
  • Priority Very Low
  • Reported Version 3.2.0
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 10
  • Private

FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso

Bonjour,

Suite à la mise en version 3.3.0 (non disponible dans le choix de version dans le tracker), il est possible de configurer la freebox pour demander un certificat Let’s Encrypt quand celle-ci est configurée pour utiliser le domaine *.freeboxos.fr

Pourriez-vous ajouter la possibilité de demander aussi un certificat Let’s Encrypt quand la freebox est configuré sur un nom de domaine perso ?

Je ne vois pas trop la restriction sur le fait d’utiliser un nom de domaine perso au lieu de *.freeboxos.fr sachant que Let’s Encrypt fais une vérification DNS ou un HTTP GET pour s’assurer de la légitimité de la demande.

Merci d’avance

Admin

et je fais comment pour modifier votre dns ?
La vérification http n'est pas possible pour toutes les freebox, et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.

Il suffit d'utiliser le challenge "tls-sni-01".

et je fais comment pour modifier votre dns ?
→ Un truc du style mettre deux étapes en plus pour indiquer le champ DNS à mettre jour et confirmer la modification

La vérification http n'est pas possible pour toutes les freebox
→ je ne savais pas que tous les services était disponibles sur toutes les freebox.

et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.
→ démarrer un serveur web 5 minutes avec l'option native du client "–standalone Run a standalone webserver for authentication" par exemple ou un serveur autre sur la box
→ mettre une règle temporaire qui redirige soit:

  1. tout le trafic vers le port 80 le temps de la vérification vers ce serveur (30 sec ?) avec un message qui explique le "downtime"
  2. uniquement depuis les serveurs de vérification let's encrypt vers le 80 de ce serveur

Vu le contenu de la réponse, j'en déduit que la freebox interagit d'une quelconque manière avec le serveur sur le domaine freeboxos.fr pour le fichier de validation HTTP que ce n'est pas le moteur qui fournit l'interface FreeboxOS qui gère cette partie.

Autre solution : demander à l'utilisateur de créer un second CNAME utilisé pour l'autorisation.

Exemple pour freebox.mondomaine.tld:
- freebox.mondomaine.tld CNAME vers XXXXXX.fbxos.fr.
- _acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr

Ensuite il vous suffit de créer l'enregistrement TXT qui va bien sur XXXXXX.auth.fbxos.fr.

_acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr

Voir même vers _acme-challenge.XXXXXX.fbxos.fr, comme ça vous n'avez rien à modifier côté DNS par rapport au système actuel.

Un CNAME sur _acme-challenge permettrait à Free d'obtenir des certificats pour le domaine utilisé (indépendamment de la freebox), ce qui peut ne pas être acceptable pour certains utilisateurs. Une meilleure méthode pour l'automatisation des renouvellements serait d'utiliser les APIs des registrars et hébergeurs DNS pour mettre à jour les enregistrements (de préférence en permettant d'ajouter des plugins pour ceux n'étant pas inclus), comme le font déjà certains autres clients ACME.

Dans tous les cas, au minimum l'ajout manuel des enregistrements DNS devrait être supporté. C'est la méthode la plus simple à implémenter (puisqu'à l'exception de l'affichage elle est la base de toutes les autres) et celle qui a le moins d'implications en termes de sécurité.

Est-ce toujours d'actualité ?

Ces tickets sont en liens :

FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso :
- https://dev.freebox.fr/bugs/task/19569

FS#19842 - API pour la gestion des certificats et des noms de domaine :
- https://dev.freebox.fr/bugs/task/19842

FS#22265 - Let's encrypt certificate renew :
- https://dev.freebox.fr/bugs/task/22265

FS#29209 - Mettre à jour les certificats TLS de nom de domaine perso :
- https://dev.freebox.fr/bugs/task/29209

Est-ce que quelque chose se profile à ce niveau ? L'utilisation d'un certificat let's encrypt est ingérable manuellement sur freebox OS

Bonjour

J'abonde dans ce sens avec un extrait de la doc en français de LetsEncrypt :
https://letsencrypt.org/fr/docs/challenge-types/

il est écrit au milieu du paragraphe du challenge DNS-01 :

"Puisque Let’s Encrypt suit les normes DNS lors de la recherche d’enregistrements TXT pour la validation DNS-01, vous pouvez utiliser les enregistrements CNAME ou NS pour déléguer la réponse au challenge à d’autres zones DNS. Cela peut être utilisé pour déléguer le _acme-challenge sous-domaine à un serveur ou une zone spécifique à la validation. Il peut également être utilisé si votre fournisseur de DNS est lent à se mettre à jour, et que vous souhaitez déléguer à un serveur de mise à jour plus rapide."

Donc très facile pour Free d'avoir un champ _acme-fbx.xxx.freeboxos.fr updatable dans Freebox OS de chaque Freebox et que ce champ soit la cible d'un cname créé par l'abonné pour le _acme-challenge du domaine.

Avec tout internet en TLS aujourd'hui, ça manque réélement dans FreeboxOS.

Cordialement
nbanba

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing