NAS Synology : certificats Let’s Encrypt

 
Les certificats StartSSL/WoSign ne sont toujours pas reconnus par les navigateurs de Google, Apple et Mozilla. Et les problèmes de StartSSL/WoSign, qui ont débuté en 2016, s’accumulent car Microsoft vient d’annoncer ne plus faire confiance à leurs certificats à partir de septembre 2017.

Dommage car la gratuité chez StartSSL allait très loin avec la possibilité de création illimitée de certificats SSL et S/MIME d’une validité de 2 ans vs seulement 3 mois pour les certificats SSL Let’s Encrypt…

Il est toutefois temps de trouver une autre solution, notamment pour les URL publiques comme le site Web (www), en espérant qu’on pourra toujours utiliser les certificats clients StartSSL pour signer les mails, s’authentifier sur OpenVPN ou le Wifi.

La seule alternative gratuite et viable du moment est celle proposée par Let’s Encrypt. Le NAS Synology propose déjà cette solution, toutefois la procédure vous oblige à ouvrir le port 80 sur le routeur, ajouter des règles sur les firewall, etc…

Une solution plus souple, complète et disponible sur le Web existe : c’est ZeroSSL qui la propose et on va voir comment créer un certificat SSL Let’s Encrypt sur ce site Web.
(suite…)

NAS Synology : 802.1X et Wifi

 
Dans les 2 articles précédents, on a vu comment utiliser les certificats X509 StartSSL pour sécuriser les mails, les sites Web et les connexions OpenVPN.

Cette fois, je vous propose d’utiliser les certificats X509 StartSSL pour sécuriser votre réseau Wifi en utilisant le standard IEEE 802.1X qui permet de contrôler l’accès de vos différents équipements (PC, tablettes, smartphones…) à votre réseau local (LAN) et à Internet.

Le Wifi utilise un mécanisme de sécurité, le WPA, qui s’appuie sur le standard IEEE 802.11i définissant entre autres le processus d’authentification (PSK ou 802.1X) et la méthode de chiffrement (TKIP, AES/CCMP).

Il existe 2 types de WPA :

  • Le WPA Personal qui utilise une clé secrète partagée (WPA-PSK) entre l’équipement réseau et le point d’accès Wifi sans qu’aucun serveur d’authentification ne soit nécessaire. Le WPA Personal est utilisé par les particuliers et les petites entreprises
  • Le WPA Enterprise qui utilise un serveur d’authentification RADIUS gérant le 802.1X (WPA-802.1X ou WPA-EAP) et le protocole EAP pour le transport des informations d’identification. Le WPA Enterprise est utilisé par les grandes entreprises

Dans notre « Home sweet home » nous allons donc nous prendre pour une grande entreprise et mettre en œuvre le WPA Enterprise grâce au serveur RADIUS du NAS Synology.
(suite…)

Outlook : Email signé et chiffré

 
Dans l’article précédent, on a vu comment utiliser les certificats client StartSSL avec OpenVPN, on va voir comment utiliser ces mêmes certificats pour signer et chiffrer ses emails avec Outlook.

Pourquoi signer et chiffrer ses emails ? Aujourd’hui vos mails circulent en clair chez votre fournisseur d’accès Internet, votre hébergeur et sur tous les serveurs relais de messagerie qu’ils vont traverser ce qui entraîne au moins 3 types de risque :

  • Perte de confidentialité : vos mails peuvent être facilement lus par des tierces personnes (FAI..)
  • Perte d’intégrité : vos mails peuvent être interceptés, modifiés puis renvoyés à vos correspondants
  • Usurpation d’identité : une personne peut créer un mail et usurper votre identité en se faisant passer pour vous auprès de vos correspondants

La cryptographie permet de répondre à ces 3 risques, confidentialité, intégrité et authentification, grâce à deux méthodes de chiffrement : symétrique et asymétrique.

Dans le domaine de la messagerie, c’est la cryptologie asymétrique, dite aussi chiffrement à clés publiques, qui est utilisée avec principalement 2 standards : OpenPGP et S/MIME.
(suite…)

NAS Synology : certificats StartSSL et OpenVPN V2

MAJ du 30/06/17

A partir de ce jour, les modifications seront intégrées au fur et et mesure dans l’article au vu des nombreux changements chez StartSSL et Synology

 
Après plusieurs articles au sujet des services SSL et OpenVPN installés sur un NAS Synology, je regroupe dans cet article toutes les nouveautés, les simplifications et les améliorations de sécurité que j’ai pu apporter sur ces 2 sujets ces derniers mois.

L’objectif de cet article est de proposer une méthode simple et rapide d’installation de différents certificats gratuits StartSSL qui seront utilisés pour les sites Web et le serveur OpenVPN du NAS Synology.

En effet, la version de DSM 6 permet de déclarer plusieurs certificats sur le NAS et de les affecter à une ou plusieurs applications à la fois.

Les avantages de l’utilisation des certificats StartSSL sont nombreux en dehors de la gratuité : la PKI StartSSL possède un certificat racine qui est universellement reconnu par la grande majorité des systèmes d’exploitation, des navigateurs et des appareils mobiles, impliquant la reconnaissance immédiate de la fiabilité de tous les certificats StartSSL et permettant d’accéder de manière sécurisée à vos sites Web hébergés sur le NAS. Et, point le plus important, elle simplifie le paramétrage, la sécurité et l’utilisation du serveur OpenVPN sur le NAS.
(suite…)

Calibre, Kobo et Kindle

Pour gérer mes eBooks et mes 2 liseuses, Kindle Paperwhite et Kobo Aura, j’utilise Calibre qui est un logiciel Open Source gratuit permettant la gestion de plusieurs bibliothèques numériques, de plusieurs liseuses et de plusieurs formats d’eBooks à la fois.

La prise en main de cet outil très complet n’est pas évidente lorsqu’on débute. Pour vous faire gagner du temps, je vais décrire dans cet article les principaux paramètres que j’utilise, mais aussi les extensions Calibre et les applications installées sur ma Kobo Aura et ma Kindle Paperwhite.
(suite…)