Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Le plus dur n'est pas ce que l'on croit 50
image dediée
Securité

Vous pouvez désormais obtenir et activer simplement un certificat Let's Encrypt pour votre NAS Synology. Pour cela, il vous suffit d'utiliser la version 6.0 bêta 2 du DSM et suivre quelques petites étapes.

Hier, Synology a mis en ligne la seconde bêta de son DSM 6.0. Attendue par tous les adeptes de la marque, elle intègre de nombreuses nouveautés annoncées lors de la présentation (voir notre analyse), mais surtout, elle introduit le support de Let's Encrypt

Synology propose un support simple de Let's Encrypt

Cette fonctionnalité est importante car elle permet de générer un certificat gratuit et reconnu par tous les navigateurs afin de disposer d'un accès HTTPS à l'interface du NAS depuis l'extérieur. Vous pouvez ainsi vous y connecter sans que le mot de passe circule en clair (voir un précédent article sur le sujet) et plus généralement chiffrer l'ensemble des échanges entre le NAS et votre machine. 

Jusqu'à maintenant, la seule solution proposée était de générer un certificat auto-signé (et donc non reconnu par les navigateurs à moins de l'ajouter manuellement) ou d'installer un certificat généré par une autorité de certification reconnue.

Synology Let's Encrypt
Avec un certificat auto-signé, c'est l'erreur assurée

Ici, le but est de disposer d'une solution gratuite et simple à mettre en place pour tous. Nous avons donc testé cette fonctionnalité afin de voir si cette promesse était tenue.

Tout d'abord il faut savoir qu'un certificat SSL/TLS (X.509) tel qu'il est utilisé ici, est généré pour assurer de la propriété d'un domaine et éventuellement de sous-domaines. Vous ne pouvez donc l'utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.

Configurez votre routeur pour un accès externe

Pour ce faire, vous devez rediriger un domaine vers l'IP de votre NAS mais aussi vous assurer que les ports nécessaires sont ouverts et renvoyés vers votre NAS via votre routeur. Si vous hébergez vous-même votre NAS vous devrez faire la manipulation à la main en fonction de votre réseau local.

Synology propose un outil Configuration du routeur permettant de simplifier la procédure accessible dans le panneau de configuration dans la section Accès externe. Si vous avez opté pour un NAS hébergé par des services comme Infomaniak par exemple, tout est déjà en place.

Par défaut, l'accès HTTPS à votre NAS Synology se fait sur le port 5001, mais vous avez la possibilité de modifier ce choix par sécurité. Il faudra aussi penser à faire de même pour les différents services que vous voulez utiliser. Attention, pour que l'ajout d'un certificat Let's Encrypt fonctionne, le port 80 doit aussi être ouvert et redirigé vers votre NAS.

Accès à votre NAS depuis l'extérieur : quelques points à vérifier

Attention tout de même : laisser un accès depuis l'extérieur à un NAS permettant d'accéder à vos données n'est pas anodin. Pensez à activer les différentes options proposées dans la section Sécurité du panneau de configuration : le pare-feu, le blocage automatique en cas d'utilisation d'un mauvais mot de passe de manière répétée, la protection contre les attaques par déni de service, l'interdiction d'intégration dans une iFrame, etc. 

Vous pouvez aussi décider d'activer la connexion avec une vérification en deux étapes (2FA) dans les paramètres avancés de la section Utilisateur. Cela vous permettra d'ajouter une couche de sécurité supplémentaire avec l'utilisation d'une application qui génèrera un code aléatoire nécessaire pour se connecter.

Synology publie de son côté tout un ensemble de recommandations qui pourront vous aider.

Redirigez un domaine vers votre NAS

Pour ce qui est de l'obtention et de la redirection d'un nom de domaine, vous avez deux possibilités. Soit vous en avez déjà un à disposition et vous demandez à votre prestataire de mettre en place une redirection vers l'IP de votre NAS. C'est en général assez simple, des formulaires simplifiés vous permettant de gérer une telle demande automatiquement chez les hébergeurs et autres registrars.

Si vous n'avez pas de nom de domaine, que vous ne voulez pas en payer un, ou que votre connexion dispose d'une IP dynamique vous avez aussi la possibilité d'utiliser un service DDNS (Dynamic DNS). Le DSM de Synology en gère tout un tas, mais dans notre exemple nous avons décidé d'opter pour celui qui est proposé par la société : Synology.me. 

Synology Let's Encrypt

Pour en profiter, il vous suffit de disposer d'un compte Synology que vous pouvez directement créer depuis l'interface DSM avec une adresse email et un mot de passe. Une fois votre email confirmé, et si votre NAS et votre routeur ont bien été configurés, vous pourrez accéder à votre interface depuis une adresse type :

http://nom-choisi.synology.me

Une création de certificat Let's Encrypt en quelques clics

Une fois cette étape passée, passons à ce qui nous intéresse spécifiquement aujourd'hui : la création du certificat Let's Encrypt. Cela se passe dans la section Sécurité du panneau de configuration, dans l'onglet Certificat. Sélectionnez Ajouter, et vous pourrez alors créer un nouveau certificat ou alors remplacer un existant. Vous pourrez aussi préciser si c'est celui à utiliser par défaut ou non.

Dans tous les cas, une nouvelle option fera ensuite son apparition : Procurez-vous un certificat auprès de Let's Encrypt. Vous devrez alors préciser le domaine d'accès de votre NAS (testletsencrypt.synology.me dans notre exemple), un courrier électronique de contact, ainsi que d'éventuels noms alternatifs. Ceux-ci permettent de gérer des domaines alias permettant d'accéder à votre NAS de la même manière que votre domaine principal. Ils doivent être séparés par des « ; ».

Synology Let's EncryptSynology Let's Encrypt

Une fois ceci effectué, votre certificat sera activé et valable pour trois mois. Pour le moment, Synology ne semble pas proposer de solution de renouvellement, et ne précise pas si celui-ci est automatique. Cela devrait néanmoins être précisé et/ou mis en place d'ici la prochaine bêta ou la version finale attendue pour mars. Nous aurons donc l'occasion d'y revenir.

Activez l'accès HTTPS et configurez la suite de chiffrement

Pour profiter de l'accès HTTPS, il faut bien entendu penser à l'activer. Cela se passe dans les Paramètres de DSM dans la section Réseau du panneau de configuration. Vous pourrez y choisir les ports d'accès, activer la redirection automatique vers la version HTTPS et activer HTTP/2.

Notez que dans les paramètres avancés de la section Sécurité, vous avez aussi la possibilité de modifier les suites de chiffrement SSL/TLS que vous voulez utiliser. La version « Moderne » sera la plus restrictive, mais sera susceptible de poser problème si votre navigateur n'est pas à jour. C'est néanmoins celle que nous vous recommandons d'utiliser.

 Synology Let's Encrypt

Une intégration réussie, mais des options dispersées

Au final, la méthode mise en place par Synology semble donc assez simple. Pour le moment, le plus complexe pour les non-initiés restera en effet de paramétrer l'accès au NAS depuis l'extérieur via une URL spécifique. On pourra tout de même regretter que les options relatives à l'accès HTTPS soient parfois accessibles dans des sections dispersées du panneau de configuration plutôt que d'être entièrement regroupé. 

Reste maintenant à voir comment cela évolue et si Synology fait encore évoluer les choses d'ici la version finale de son DSM 6.0, notamment sur la question du renouvellement du certificat.

Il sera aussi intéressant de voir si ses concurrents comme ASUSTOR et QNAP décident de faire de même dans les semaines à venir, donnant un peu plus de poids à Let's Encrypt qui est déjà proposé par certains hébergeurs comme Gandi ou Infomaniak, OVH n'ayant pour le moment toujours pas mis en place le support annoncé

Publiée le 22/01/2016 à 17:00
David Legrand

Directeur des rédactions et responsable des L@bs de Nancy. Geek de l'extrême spécialisé dans l'analyse des produits high-tech, les réseaux sociaux et les trios d'écrans. Adepte du libre.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...