Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Le plus dur n'est pas ce que l'on croit
Internet 7 min
Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Vous pouvez désormais obtenir et activer simplement un certificat Let's Encrypt pour votre NAS Synology. Pour cela, il vous suffit d'utiliser la version 6.0 bêta 2 du DSM et suivre quelques petites étapes.

Hier, Synology a mis en ligne la seconde bêta de son DSM 6.0. Attendue par tous les adeptes de la marque, elle intègre de nombreuses nouveautés annoncées lors de la présentation (voir notre analyse), mais surtout, elle introduit le support de Let's Encrypt

Synology propose un support simple de Let's Encrypt

Cette fonctionnalité est importante car elle permet de générer un certificat gratuit et reconnu par tous les navigateurs afin de disposer d'un accès HTTPS à l'interface du NAS depuis l'extérieur. Vous pouvez ainsi vous y connecter sans que le mot de passe circule en clair (voir un précédent article sur le sujet) et plus généralement chiffrer l'ensemble des échanges entre le NAS et votre machine. 

Jusqu'à maintenant, la seule solution proposée était de générer un certificat auto-signé (et donc non reconnu par les navigateurs à moins de l'ajouter manuellement) ou d'installer un certificat généré par une autorité de certification reconnue.

Synology Let's Encrypt
Avec un certificat auto-signé, c'est l'erreur assurée

Ici, le but est de disposer d'une solution gratuite et simple à mettre en place pour tous. Nous avons donc testé cette fonctionnalité afin de voir si cette promesse était tenue.

Tout d'abord il faut savoir qu'un certificat SSL/TLS (X.509) tel qu'il est utilisé ici, est généré pour assurer de la propriété d'un domaine et éventuellement de sous-domaines. Vous ne pouvez donc l'utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.

Configurez votre routeur pour un accès externe

Pour ce faire, vous devez rediriger un domaine vers l'IP de votre NAS mais aussi vous assurer que les ports nécessaires sont ouverts et renvoyés vers votre NAS via votre routeur. Si vous hébergez vous-même votre NAS vous devrez faire la manipulation à la main en fonction de votre réseau local.

Synology propose un outil Configuration du routeur permettant de simplifier la procédure accessible dans le panneau de configuration dans la section Accès externe. Si vous avez opté pour un NAS hébergé par des services comme Infomaniak par exemple, tout est déjà en place.

Par défaut, l'accès HTTPS à votre NAS Synology se fait sur le port 5001, mais vous avez la possibilité de modifier ce choix par sécurité. Il faudra aussi penser à faire de même pour les différents services que vous voulez utiliser. Attention, pour que l'ajout d'un certificat Let's Encrypt fonctionne, le port 80 doit aussi être ouvert et redirigé vers votre NAS.

Accès à votre NAS depuis l'extérieur : quelques points à vérifier

Attention tout de même : laisser un accès depuis l'extérieur à un NAS permettant d'accéder à vos données n'est pas anodin. Pensez à activer les différentes options proposées dans la section Sécurité du panneau de configuration : le pare-feu, le blocage automatique en cas d'utilisation d'un mauvais mot de passe de manière répétée, la protection contre les attaques par déni de service, l'interdiction d'intégration dans une iFrame, etc. 

Vous pouvez aussi décider d'activer la connexion avec une vérification en deux étapes (2FA) dans les paramètres avancés de la section Utilisateur. Cela vous permettra d'ajouter une couche de sécurité supplémentaire avec l'utilisation d'une application qui génèrera un code aléatoire nécessaire pour se connecter.

Synology publie de son côté tout un ensemble de recommandations qui pourront vous aider.

Redirigez un domaine vers votre NAS

Pour ce qui est de l'obtention et de la redirection d'un nom de domaine, vous avez deux possibilités. Soit vous en avez déjà un à disposition et vous demandez à votre prestataire de mettre en place une redirection vers l'IP de votre NAS. C'est en général assez simple, des formulaires simplifiés vous permettant de gérer une telle demande automatiquement chez les hébergeurs et autres registrars.

Si vous n'avez pas de nom de domaine, que vous ne voulez pas en payer un, ou que votre connexion dispose d'une IP dynamique vous avez aussi la possibilité d'utiliser un service DDNS (Dynamic DNS). Le DSM de Synology en gère tout un tas, mais dans notre exemple nous avons décidé d'opter pour celui qui est proposé par la société : Synology.me. 

Synology Let's Encrypt

Pour en profiter, il vous suffit de disposer d'un compte Synology que vous pouvez directement créer depuis l'interface DSM avec une adresse email et un mot de passe. Une fois votre email confirmé, et si votre NAS et votre routeur ont bien été configurés, vous pourrez accéder à votre interface depuis une adresse type :

http://nom-choisi.synology.me

Une création de certificat Let's Encrypt en quelques clics

Une fois cette étape passée, passons à ce qui nous intéresse spécifiquement aujourd'hui : la création du certificat Let's Encrypt. Cela se passe dans la section Sécurité du panneau de configuration, dans l'onglet Certificat. Sélectionnez Ajouter, et vous pourrez alors créer un nouveau certificat ou alors remplacer un existant. Vous pourrez aussi préciser si c'est celui à utiliser par défaut ou non.

Dans tous les cas, une nouvelle option fera ensuite son apparition : Procurez-vous un certificat auprès de Let's Encrypt. Vous devrez alors préciser le domaine d'accès de votre NAS (testletsencrypt.synology.me dans notre exemple), un courrier électronique de contact, ainsi que d'éventuels noms alternatifs. Ceux-ci permettent de gérer des domaines alias permettant d'accéder à votre NAS de la même manière que votre domaine principal. Ils doivent être séparés par des « ; ».

Synology Let's EncryptSynology Let's Encrypt

Une fois ceci effectué, votre certificat sera activé et valable pour trois mois. Pour le moment, Synology ne semble pas proposer de solution de renouvellement, et ne précise pas si celui-ci est automatique. Cela devrait néanmoins être précisé et/ou mis en place d'ici la prochaine bêta ou la version finale attendue pour mars. Nous aurons donc l'occasion d'y revenir.

Activez l'accès HTTPS et configurez la suite de chiffrement

Pour profiter de l'accès HTTPS, il faut bien entendu penser à l'activer. Cela se passe dans les Paramètres de DSM dans la section Réseau du panneau de configuration. Vous pourrez y choisir les ports d'accès, activer la redirection automatique vers la version HTTPS et activer HTTP/2.

Notez que dans les paramètres avancés de la section Sécurité, vous avez aussi la possibilité de modifier les suites de chiffrement SSL/TLS que vous voulez utiliser. La version « Moderne » sera la plus restrictive, mais sera susceptible de poser problème si votre navigateur n'est pas à jour. C'est néanmoins celle que nous vous recommandons d'utiliser.

 Synology Let's Encrypt

Une intégration réussie, mais des options dispersées

Au final, la méthode mise en place par Synology semble donc assez simple. Pour le moment, le plus complexe pour les non-initiés restera en effet de paramétrer l'accès au NAS depuis l'extérieur via une URL spécifique. On pourra tout de même regretter que les options relatives à l'accès HTTPS soient parfois accessibles dans des sections dispersées du panneau de configuration plutôt que d'être entièrement regroupé. 

Reste maintenant à voir comment cela évolue et si Synology fait encore évoluer les choses d'ici la version finale de son DSM 6.0, notamment sur la question du renouvellement du certificat.

Il sera aussi intéressant de voir si ses concurrents comme ASUSTOR et QNAP décident de faire de même dans les semaines à venir, donnant un peu plus de poids à Let's Encrypt qui est déjà proposé par certains hébergeurs comme Gandi ou Infomaniak, OVH n'ayant pour le moment toujours pas mis en place le support annoncé

50 commentaires
Avatar de Keizo Abonné
Avatar de KeizoKeizo- 22/01/16 à 16:16:18

Signaler ce commentaire aux modérateurs :

J'ai un nas chez moi et j'ai tout de configuré. j'utilise un certificat de startssl et ça à été un peu galère à générer et comme j'ai rajouté d'autres sous domaines à mon nas baaah j'ai la flemme de refaire d'autre certifs.
la ça va etre tellement simple pour en refaire !

Avatar de pelotio Abonné
Avatar de pelotiopelotio- 22/01/16 à 16:18:43

Signaler ce commentaire aux modérateurs :

Je voulais justement faire la config avec un certificat Let's Encrypt. Je vais le faire à la main pour l'instant, en attendant la sortie de la version finale, mais c'est encore un bon point pour Syno.

Avatar de thekingsky INpactien
Avatar de thekingskythekingsky- 22/01/16 à 16:45:01

Signaler ce commentaire aux modérateurs :

Quid des sous-domaines en toto.synology.me ?

Du genre : sousdomaine1.toto.synology.me sera aussi accepté par le certificat ?

Édité par thekingsky le 22/01/2016 à 16:45
Avatar de David_L Équipe
Avatar de David_LDavid_L- 22/01/16 à 16:51:55

Signaler ce commentaire aux modérateurs :

Quel intérêt ? Sinon non, Synology ne permet pas de créer une URL de ce type (le point n'est pas accepté dans le nom d'hôte)

Avatar de Chloroplaste INpactien
Avatar de ChloroplasteChloroplaste- 22/01/16 à 17:01:50

Signaler ce commentaire aux modérateurs :

Excusez moi pour cette question sûrement naïve mais n'étant pas du tout calé en sécurité...

Quel est le but de ce certificat ? D'authentifier le NAS lors d'une connexion externe ? Mais dans ce cas, que signifie "authentifier le NAS ?

Avatar de Anozer Abonné
Avatar de AnozerAnozer- 22/01/16 à 17:05:55

Signaler ce commentaire aux modérateurs :

Bon article ! 
Je me pose une question cependant. Il est indiqué que le port 80 est nécessaire. Or DSM permet de forcer la redirection de 80 vers 443. Est-ce fonctionnel ?

Sinon, c'est suggéré dans l'article mais je me permet d'insister : je recommande à tous de changer tous les ports par défaut, surtout lorsqu'ils sont ouvert vers l'extérieur.

De mon côté j'avais un certificat StartTLS gratuit, je suis pas certain que Let's Encrypt m'apport plus. J'ai créé un sous domaine de mon serveur web qui pointe vers mon NAS et ça marche plutôt bien.

Autre conseil : étant donné qu'on ne peut pas utiliser autre chose que son nom de domaine pour accéder à son NAS en HTTPS, ça peut parfois être problématique lors d'accès en local. Car les DNS de notre PC vont obtenir l'IP externe et pas celle du réseau local... Donc j'ai installé le serveur DNS proposé par Synology que j'ai configuré pour que mon nom de domaine pointe vers l'IP locale et toute autre requête est renvoyée à un autre DNS. Puis j'ai configuré mon DHCP pour qu'il donne l'IP locale du NAS comme DNS. Comme ça, chez moi mon NDD tombe sur mon IP locale. A l'extérieur, il tombe sur l'IP de ma box et tout roule. :)

Avatar de anonyme_5af96fc0c6bcfcf63dedfe7bc68a4860 Abonné

Signaler ce commentaire aux modérateurs :

Question [naïve] : qu'en est-il des données potentiellement récupérées par Synology si on utilise un .synology.me plutôt qu'un nom de domaine perso ?

Lier son NAS à Synology est très pratique mais pour un serveur mail c'est pas top puisqu'on peut pas avoir de mail en contact@machin.com (si ?).

Avatar de Anozer Abonné
Avatar de AnozerAnozer- 22/01/16 à 17:55:33

Signaler ce commentaire aux modérateurs :

À supprimer.

Édité par Anozer le 22/01/2016 à 17:56
Avatar de Anozer Abonné
Avatar de AnozerAnozer- 22/01/16 à 17:56:22

Signaler ce commentaire aux modérateurs :

En théorie, aucune donnée ne passera chez syno. Lorsque ton PC va demander à accéder à ton NAS via xxx.synology.me, il va interroger ses DNS (ceux de ton FAI, de google, etc) qui vont lui donner ton IP. Après il n'utilisera plus le nom de domaine mais l'IP qui est la tienne. Pour t'en assurer, dans une console, tappe "nslookup tondomaine.synology.me" et tu verras qu'il pointe vers ta box, pas synology. Si des experts passent par là, qu'ils me confirme ou infirme.

Avatar de vinky_ INpactien
Avatar de vinky_vinky_- 22/01/16 à 18:14:40

Signaler ce commentaire aux modérateurs :

David_L a écrit :

Quel intérêt ? Sinon non, Synology ne permet pas de créer une URL de ce type (le point n'est pas accepté dans le nom d'hôte)

L'intérêt est d'accéder directement aux bonnes applications. Ex : photostation.toto.synology.me -> photostation pareil pour download station, vidéo station etc...

Synology ne le permet pas en natif mais un reverse proxy permet de le faire. Cela permet un poil plus de sécurité. Et aussi d'accéder à l'interface de sa box si celle-ci ne gere pas le https via https tout de même (freebox bonjour) ou ne permet pas l'accès depuis l'extérieur. https://box.toto.synology.me)
D'où la question qui du coup m'interesse également !

Il n'est plus possible de commenter cette actualité.
Page 1 / 5