Invalid Certificate com o DuckDNS

Fernmac · 1 Março , 2019 17:45

Boas pessoal,
Já estive a pesquisar e parece que o certificado do Duckdns apenas é válido por 90 dias. Assim, deixei de ter acesso pelo iPhone e em determinados browsers. Estranhamente, no Safari em casa, continua a funcionar embora não consiga ver informações do certificado.
Já tentei desinstalar e reinstalar o componente do Duckdns e da app no iPhone mas nada.
Alguém pode ajudar?
Obrigado

NET::ERR_CERT_DATE_INVALID

Subject: omeuurl.duckdns.org
Issuer: Let’s Encrypt Authority X3
Expires on: 25 Feb 2019
Current date: 1 Mar 2019

j_assuncao · 1 Março , 2019 18:30

Quais são as configurações do addon do DuckDNS e o log (também do addon) quando arranca?

Fernmac · 1 Março , 2019 18:57

Configurações:

{
  "lets_encrypt": {
    "accept_terms": false,
    "certfile": "fullchain.pem",
    "keyfile": "privkey.pem"
  },
  "token": "xxxxxxx-eaa3-xxxxx-bb9a-xxxxxxx",
  "domains": [
    "omeuurl.duckdns.org"
  ],
  "seconds": 300
}

O Log é sempre igual:

Fri Mar  1 18:53:52 GMT 2019: OK
111.111.111.111
NOCHANGE

j_assuncao · 1 Março , 2019 19:47

@Fernmac
Olha bem para a segunda linha das configurações do addon…

Está a dizer que não aceitas as condições da criação do certificado!

Fernmac · 2 Março , 2019 11:27

Pois, quem não sabe é como quem não vê, fiz um copy/paste e nem me ocorreu de alterar esse valor.
Muito obrigado pelo reparo. Contudo, continuo a ter exatamente o mesmo erro. Já desinstalei o duck, reinstalei, criei outro token, e sempre o mesmo erro…

Issuer: Let's Encrypt Authority X3

Expires on: 25 Feb 2019

Current date: 2 Mar 2019

PEM encoded chain:
-----BEGIN CERTIFICATE-----
MIIGXjCCBUagAwIBAgISA9T1K5AQl1/S4X0cIHld11d0MA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODExMjcxNjIxNDFaFw0x

j_assuncao · 2 Março , 2019 21:20

@Fernmac
E como tens o port forwarding no router?

Fernmac · 3 Março , 2019 02:33

Está assim:

j_assuncao · 3 Março , 2019 02:43

@Fernmac
Experimenta fazer forward da porta 80 externa para a 8123 interna. Depois de activado no router faz restart ao addon do DuckDNS e vê o que diz o log.

Fernmac · 3 Março , 2019 13:47

Ok! Desde já muito obrigado pela ajuda, finalmente consegui renovar o certificado com a preciosa ajuda.
Gostaria de saber se as portas que tenho abertas são as mais corretas:

jgracio · 3 Março , 2019 15:12

Boa tarde

Tenho um problema identico com a agravante do meu Kasperski parecer querer ser parte do problema.

Tudo parece bem mas nos meus dispositivos o certificados está marcado como não confiável e não consigo aceder do ipad (nem usando um endereço local nem via duckdns).

A estratégia de mudar o port forward da porta 80 no router não funciona porque (pressupostamente por razões de segurança) este não me permite.

Alguma ideia como “tornar” os certificados “trusted”?

Obrigado

j_assuncao · 3 Março , 2019 18:11

@jgracio
Os certificados da Lets Encrypt são “trusted”! Nas configurações do Kaspersky desliga a verificação dos certificados.

j_assuncao · 3 Março , 2019 18:13

@Fernmac
Sem saber o que tens instalado no HA não há maneira de responder. Para o HA apenas são precisas a porta 80 e 8123 .

jgracio · 3 Março , 2019 21:32

Obrigado Jorge

A verificação dos certificados já está desligada no Kaspersky, mas apenas afectava o meu acesso via windows.

Tenho instalado o hassio e a configuração do DuckDNS é
{
“lets_encrypt”: {
“accept_terms”: true,
“certfile”: “fullchain.pem”,
“keyfile”: “privkey.pem”
},
“token”: “xxxxxxxxxxxxxxxxxxxxxxxxxx”,
“domains”: [
“ccc.duckdns.org”
],
“seconds”: 300
}

E a configuração http no configuration é
hppt:
base_url: https://XXX.duckdns.org:8123
ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

Os erros que obtenho são no pc windows e no ipad são:
Quando acedo via hassio.local, dá falha que ligação no ecran com o simbolo do ha, com a mensagem
Unable to connect to Home Assistant. e com a opção de retry. Quando acedo a retry aparece-me o ecran para login que após introduzido correctamente volta a dar falha de ligação.

Quando acedo via duckdns apenas me aparece um ecran de erro
Forbidden
You don’t have permission to access /UI on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Nesta altura estou sem conseguir aceder ao ha e não sei porquê uma vez que “aparentemente” nada fiz que me parecesse relevante para a segurança do ha.

Agradeço a ajuda.

j_assuncao · 3 Março , 2019 21:38

O teu base URL deve ser sempre o teu IP interno e sem prefixo. Altera para:

base_url: xxx.xxx.xxx.xxx:8123

P.S.: Lê a FAQ sobre como publicar código…

jgracio · 3 Março , 2019 22:38

Uma vez mais obrigado, parece que estou parcialmente salvo.

No windows ficou a funcionar dentro da lan mas não consigo aceder no ipad.
Quanto ao duckdns continua a dar erros - tenho que pensar se quero manter esta funcionalidade - passei um fds de volta de certificados de acesso e relações de confiaça entre redes e dispositivos em vez de me divertir a automatizar a minha vida doméstica. Serei só eu?

O que queres dizer com “Lê a FAQ sobre como publicar código…”? FAQ aqui no CPHA? Publicar que tipo de código?

RodolfoVieira · 3 Março , 2019 22:41

@jgracio quando publicares código deves sublinhar o texto que queres transformar em código e clicar no icone </>. Deverá existir um espaço antes e outro depois do bloco de código para que funcione correctamente. O código em Yaml é muito sensível aos espaçamentos e sem o código devidamente formatado não te poderemos ajudar.`

Vê um exemplo:

jgracio · 3 Março , 2019 22:53

Ok, entendido.
As minhas desculpas pela falta de disciplina.

j_assuncao · 3 Março , 2019 22:55

@jgracio
Explica com pormenores como tens a tua rede montada e como tens o teu HA instalado. Posso ter uma solução para isso.

jgracio · 4 Março , 2019 00:49

Tenho apenas uma subnet com um router da vodafone que liga à wan. O meu hassio 0.88.1, HassOS 2.10, está instalado num RPi ligado por ethernet directamente ao router.

O meu router da vodafonte tem um port forward da porta de entrada 433 para a porta interna 8123 que por sua vez aponta para o hassio.

Tudo isto tem funcionado com frequentes erros relativos ao certificado que entretanto foram minimizados por ter desligada a verificação dos certificados pelo kaspersky. Nesta altura não apenas consigo aceder ao hassio directamente ao por hpps://xxx.xxx.xxx.xxx:8123 .

Diz-me por favor se há mais algum detalhe sobre a rede e configuração que penses ser relevante para a análise do problema.

OS meus agradecimentos …

j_assuncao · 4 Março , 2019 01:01

O problema poderá estar nos port forwards. Tenta por tudo directo para o HA (80>8123, 443>8123 e 8123>8123).

O que te aconselhava era mudares o teu tipo de instalação para raspassio. Ficas com mais controlo sobre o SO e todas as funcionalidades do Hassio.

Se tiveres um domínio teu (são muito baratos) podes instalar o nginx+certbot para teres https e certificado. Dentro da tua rede interna o HA funciona em http://ip_do_ha:8123 e de fora funciona com https://dominio.tld