Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie WAN
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Haute
  • Priorité Normale
  • Basée sur la version 3.4.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#22265 - Let's encrypt certificate renew

Bonjour

J’ai activé un nom de domaine personnalisé sous la forme: “personnalisation.freeboxos.fr” et activé Let’s encrypt.

A ce jour avec L’ipv6 désactivée, l’un de mes serveurs écoutait sur le port 80 le temps de renouveler un certificat let’s encrypt avec certBot.

Ce certificat n’est plus renouvelable, car let’s encrypt utilise désormais l’ipV6 si celle-ci est présente dans les champs DNS.

Or même avec l’ipv6 désactivée dans la box ET dans l’interface de gestion de ma ligne vdsl, l’ipv6 Wan de la box est renseignée dans le champ AAAA du dns free, donc le renouvellement du certificat tente de vérifier mon domaine sur cette adresse.

Or cette adresse est celle de la box et n’est pas redirigeable vers le serveur, le renouvellement du certificat éhoue donc.

J’ai tenté d’activer l’ipv6 sur tous mes equipements, le problème reste le même puisque l’ipv6 associée au dns est celle de la box et non du serveur, donc impossible d’utiliser un certificat let’s encrypt sur un serveur en ipv4 comme en ipv6.

Il serait donc bon de pouvoir soit :
-supprimer le champ AAAA du dns si ipv6 n’est pas ativé.
ou
-Exporter le certificat généré par le Freebox serveur pour l’utiliser sur des serveurs en ipv4 (qui ont donc la même ip publique que le Freebox serveur et qui est déjà vérifiée par let’s encrypt)

Au pire permettre ue redirection de port sur l’ip v6 ou pouvoir mettre une DMZ sur l’ip v6 (oui je sais c’est contre le principe de l’ip v6 puisque chaque appareil a sa propre ip mais sans cela le nom de domaine proposé par free ne sert plus a rien)

Merci

Cette tache ne dépend pas d'autre tache

_FrnchFrgg_ (frnchfrgg)
vendredi 6 avril, 2018 21:13:08

J'ai été touché par ce problème, et ça perturbe fortement mon usage (partage d'agendas par un serveur Radicale en HTTPS, qui ne se fait plus car DAVdroid et thunderbird se plaignent à répétition que le certificat est expiré).

Le souci c'est qu'il est très difficile de comprendre ce qui se passe au départ (rien n'indique que let's encrypt a tenté la connexion ipv6 et que c'est celle là qui a fait un timeout, et la plupart des autres tests que j'ai fait ou bien passaient directement par ipv4 ou bien faisaient un fallback).
Étant donné que quasi simultanément il y a eu le problème du challenge tls-sni qui a été supprimé pour risque de compromission, il est facile de se retrouver dans la mauvaise direction...

Puisqu'on ne peut pas créer de deuxième domaine @freeboxos.fr ou encore le faire pointer vers une adresse ipv6 autre que la freebox server (quitte à rediriger le port 52210 vers le freebox server pour conserver les bénéfices de l'accès), on est coincés.

Les solutions possibles que je vois:
a) Permettre de récupérer le certificat certbot depuis l'interface freeboxos, pour l'installer manuellement sur le serveur. Le défaut est que ça ne corrige pas vraiment le fait que l'adresse @freeboxos n'est pas utilisable en ipv6 (hormis pour contacter la freebox elle même). Je ne sais pas dans quelle mesure le problème est le même avec les adresses @hd.free.fr que je n'utilise plus.
b) Effectuer les mêmes redirections de port en ipv6 qu'en ipv4. Comme dit par jmg70 dans son rapport, ce n'est peut-être pas très dans l'esprit ipv6, mais d'un autre côté c'est très étrange que le même nom ne tombe pas sur le même service selon qu'on soit en résolution de DNS ipv4 ou ipv6...
c) Permettre de faire pointer les domaines @freeboxos.fr vers l'adresse ipv6 qu'on veut (dans notre sous-réseau). Le souci est que ça peut vite casser une partie des usages de la box elle-même si c'est mal géré (VPN, etc.). Si cette DNS vers une de nos adresses v6 est réservée aux adresses @hd.free.fr ou similaire, ça me va aussi.

La suppression du champ AAAA quand ipv6 est désactivé est sans doute correcte (de toutes façons si on ne veut pas l'ipv6, la box n'est pas joignable comme ça, donc le champ AAAA est assez peu légitime), mais c'est un pis-aller, car il me semble contraire au progrès ambiant de désactiver l'ipv6 pour réparer un service.

Neustradamus (Neustradamus_)
vendredi 28 août, 2020 12:06:24

Le problème est toujours présent de nos jours ?

Neustradamus (Neustradamus_)
vendredi 28 août, 2020 12:18:33

Ces tickets sont en liens :

FS#19569 - Permettre de demander un certificat Let's ecnrypt avec un DNS perso :
- https://dev.freebox.fr/bugs/task/19569

FS#19842 - API pour la gestion des certificats et des noms de domaine :
- https://dev.freebox.fr/bugs/task/19842

FS#22265 - Let's encrypt certificate renew :
- https://dev.freebox.fr/bugs/task/22265

FS#29209 - Mettre à jour les certificats TLS de nom de domaine perso :
- https://dev.freebox.fr/bugs/task/29209

Chargement...