- État Nouveau
- Pourcentage achevé
- Type Évolution
- Catégorie Console de gestion → Console à distance
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 3.2.0
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
10
- sebastienserre (10/04/2023)
- Breizh (27/07/2021)
- jdavid01 (23/01/2021)
- tigermick (13/01/2021)
- kevgau (28/09/2020)
- aspeer (04/06/2017)
- ggrandou (20/03/2016)
- pzajda (03/02/2016)
- noirbizarre (02/02/2016)
- jleroy (02/02/2016)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par guillaume.francois55 - 02/02/2016
Ouverte par guillaume.francois55 - 02/02/2016
FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso
Bonjour,
Suite à la mise en version 3.3.0 (non disponible dans le choix de version dans le tracker), il est possible de configurer la freebox pour demander un certificat Let’s Encrypt quand celle-ci est configurée pour utiliser le domaine *.freeboxos.fr
Pourriez-vous ajouter la possibilité de demander aussi un certificat Let’s Encrypt quand la freebox est configuré sur un nom de domaine perso ?
Je ne vois pas trop la restriction sur le fait d’utiliser un nom de domaine perso au lieu de *.freeboxos.fr sachant que Let’s Encrypt fais une vérification DNS ou un HTTP GET pour s’assurer de la légitimité de la demande.
Merci d’avance
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
et je fais comment pour modifier votre dns ?
La vérification http n'est pas possible pour toutes les freebox, et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.
Il suffit d'utiliser le challenge "tls-sni-01".
et je fais comment pour modifier votre dns ?
→ Un truc du style mettre deux étapes en plus pour indiquer le champ DNS à mettre jour et confirmer la modification
La vérification http n'est pas possible pour toutes les freebox
→ je ne savais pas que tous les services était disponibles sur toutes les freebox.
et en plus il faudrait que la box intercepte le port 80 pour traiter la requête.
→ démarrer un serveur web 5 minutes avec l'option native du client "–standalone Run a standalone webserver for authentication" par exemple ou un serveur autre sur la box
→ mettre une règle temporaire qui redirige soit:
Vu le contenu de la réponse, j'en déduit que la freebox interagit d'une quelconque manière avec le serveur sur le domaine freeboxos.fr pour le fichier de validation HTTP que ce n'est pas le moteur qui fournit l'interface FreeboxOS qui gère cette partie.
Autre solution : demander à l'utilisateur de créer un second CNAME utilisé pour l'autorisation.
Exemple pour freebox.mondomaine.tld:
- freebox.mondomaine.tld CNAME vers XXXXXX.fbxos.fr.
- _acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr
Ensuite il vous suffit de créer l'enregistrement TXT qui va bien sur XXXXXX.auth.fbxos.fr.
_acme-challenge.freebox.mondomaine.tld CNAME vers XXXXXX.auth.fbxos.fr
Voir même vers _acme-challenge.XXXXXX.fbxos.fr, comme ça vous n'avez rien à modifier côté DNS par rapport au système actuel.
Un CNAME sur _acme-challenge permettrait à Free d'obtenir des certificats pour le domaine utilisé (indépendamment de la freebox), ce qui peut ne pas être acceptable pour certains utilisateurs. Une meilleure méthode pour l'automatisation des renouvellements serait d'utiliser les APIs des registrars et hébergeurs DNS pour mettre à jour les enregistrements (de préférence en permettant d'ajouter des plugins pour ceux n'étant pas inclus), comme le font déjà certains autres clients ACME.
Dans tous les cas, au minimum l'ajout manuel des enregistrements DNS devrait être supporté. C'est la méthode la plus simple à implémenter (puisqu'à l'exception de l'affichage elle est la base de toutes les autres) et celle qui a le moins d'implications en termes de sécurité.
Est-ce toujours d'actualité ?
Ces tickets sont en liens :
FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso :
- https://dev.freebox.fr/bugs/task/19569
FS#19842 - API pour la gestion des certificats et des noms de domaine :
- https://dev.freebox.fr/bugs/task/19842
FS#22265 - Let's encrypt certificate renew :
- https://dev.freebox.fr/bugs/task/22265
FS#29209 - Mettre à jour les certificats TLS de nom de domaine perso :
- https://dev.freebox.fr/bugs/task/29209
Est-ce que quelque chose se profile à ce niveau ? L'utilisation d'un certificat let's encrypt est ingérable manuellement sur freebox OS
Bonjour
J'abonde dans ce sens avec un extrait de la doc en français de LetsEncrypt :
https://letsencrypt.org/fr/docs/challenge-types/
il est écrit au milieu du paragraphe du challenge DNS-01 :
"Puisque Let’s Encrypt suit les normes DNS lors de la recherche d’enregistrements TXT pour la validation DNS-01, vous pouvez utiliser les enregistrements CNAME ou NS pour déléguer la réponse au challenge à d’autres zones DNS. Cela peut être utilisé pour déléguer le _acme-challenge sous-domaine à un serveur ou une zone spécifique à la validation. Il peut également être utilisé si votre fournisseur de DNS est lent à se mettre à jour, et que vous souhaitez déléguer à un serveur de mise à jour plus rapide."
Donc très facile pour Free d'avoir un champ _acme-fbx.xxx.freeboxos.fr updatable dans Freebox OS de chaque Freebox et que ce champ soit la cible d'un cname créé par l'abonné pour le _acme-challenge du domaine.
Avec tout internet en TLS aujourd'hui, ça manque réélement dans FreeboxOS.
Cordialement
nbanba