Autohébergement sur réseau hostile

Bonjour,

Je suis en train d’envisager l’autohébergement pour notre association. La connexion Internet est fournie par la mairie (Connexion fibre de l’école) et nous avons accès à la configuration de la box.

Le problème est que ce réseau est partagé avec d’autres utilisateurs ( associations, école…). Y a t il des solutions pour sécuriser Yunohost afin notamment que notre serveur soit authentifié sur Internet?

L’utilisation de let’s encrypt ne me parait pas suffisamment sécurisée, car
quelqu’un qui aurait accès au réseau pourrait assez facilement faire valider un autre certificat.

Merci pour vos suggestions

Tu veux dire quelqu’un qui aurait accès à l’interface de la box ou au disque dur du serveur auto-hébergé?

Il me semble que dans le cas de Let’s encrypt il est possible d’enregistrer une clef avec un compte pour pouvoir empêcher la génération du même certificat (mais attention au backup…). Mais il y a d’autre autorité de certif qui utilise ACME… Donc ce n’est pas une solution.

Si tu n’as pas confiance dans ton réseau, tu peux changer virtuellement de réseau grâce à un VPN à Ip publique. Alsace Réseau Neutre propose des VPN à 4€/mois. D’autres assos de la FFDN propose des VPN.

Pour l’accès physique, la seule solution que je vois c’est de faire un chiffrement comme celui de la brique internet.

Enregistrer un compte pour régénérer le certificat pourrait déja être bien, mais je n’ai pas trouvé cette possibilité: c’est possible? Dans le cas d’une attaque on remarquerait que le fournisseur de certificat a changé.

Pour la sécurité du serveur, j’ai aussi pensé au chiffrement des disques, mais je ne sais pas encore comment mettre ça en pratique (il faut pouvoir entrer une clé au démarrage).

Par contre, ça se passerait comment avec un VPN? En utilisation serveur, j’ai du mal à imaginer: redirections de ports, etc.

Je crois que c’est possible en utilisant manuellement Let’s encrypt manuellement Ping @Aleks ?

Sur la brique il y a une interface au démarrage avec une licorne rose pour le faire.

Ben ya pas à rediriger de ports car la machine obtient une ip publique. Elle est donc directement sur le net. L’utilisation d’un tel vpn se fait très bien avec l’application vpnclient (disponible sur la liste d’applications de la brique)

SInon pour répondre au problème de la génération d’un autre certificat par une autre AC (ou par la même d’ailleurs). Le protocole DANE (non implémenté dans YunoHost peut résoudre ça il me semble. Mais il faut mettre en place DNSSEC

Ça peut être une solution DNSSEC, il faut voir comment (ou si) je peux paramétrer ça chez mon registrar. On a actuellement un nom de domaine et un hébergement chez 1&1, qui fournit un certificat Symantec: l’hébergement n’accepte pas d’autre certificat.

Si je comprend bien, à chaque régénération du certificat LetsEncrypt, il faut mettre à jour les infos du domaine pour que ça corresponde? Et cette fonctionalité n’est pas (encore) prévue par Yunohost?

Attention, DANE et DNSSEC de ce que je sais ne sont pas (pas bien) implémenté dans les navigateurs. Donc si il y aurait sans doute un module à installer côté client.

Tout dépend si tu dois fournir un accès sécurisé à des inconnus ou à beaucoup de personne.