Certificats synology

Zargos · Mars 27, 2025, 5:40pm

Bonjour,
Pour information le système DSM de Synology sur ses équipement n’est pas capable de gérer des certificats où une clef ED25519 a été utilisée dans la chaîne, aussi bien la clef du certificat que celle du certificat signataire.
Et il ne sait pas non plus gérer des certificats où un hashage supérieur à SHA256 a été utilisé.

Zargos · Mars 28, 2025, 12:01pm

Bon, en fait c’est que Apache ne sait pas gérer des clefs ED25519, donc il ne peut pas gérer des certificats basés sur des clef ED25519, et donc des certificats racines basés sur des clefs ED25519

Donc retour à des clefs RSA de 4096 bits…

Clochette · Mars 28, 2025, 2:37pm

Le support de du X25519 est pourtant bien possible sur apache et Nginx quel est la version de apache ? c’est sans doute une bizarrerie propre à Synology.

Minima il me semble Apache 2.4.36 et OpenSSL 1.1.1 (peut-être moins j’ai pas testé).

Zargos · Mars 28, 2025, 3:25pm

le support se Synology a été clair: hash SHA256 uniquement clefs RSA. IL ne support ni le SHA3 ni le ED25519.

Merci d'avoir contacté le support Synology et de nous avoir signalé votre problème concernant l'erreur SSL_ERROR_NO_CYPHER_OVERLAP après la mise en place de votre nouveau certificat.

Pour résoudre ce problème, veuillez suivre les étapes ci-dessous :

    Assurez-vous que le certificat que vous avez créé est compatible avec les services DSM. Les certificats basés sur ED25519 et utilisant SHA3-512 peuvent ne pas être pris en charge par certains navigateurs ou services DSM.
    Si possible, recréez un certificat en utilisant un algorithme de clé RSA (2048 ou 4096 bits) et un algorithme de hachage SHA-256, qui sont largement compatibles.

Et j’ai testé sur un serveur apache avec zabbix, et je me suis fait jeter.
Cependant, pour revenir à du RSA et SHA256, j’ai un root CA en SHA3 qui signe ensuite des SUB CA en SHA256. J’ai peut être une erreur à ce niveau. A vérifier (ou refaire plutôt).

En tout cas, pour le moment, je n’ai rien trouvé qui valide clairement la capacité d’Apache à gérer du SHA3 et/ou du ED25519.

Pourtant dans un article sur testssl.sh, j’ai des retour qui me confirment bien l’utilisation possible de ED25519, mais pas du SHA3-512 en tout cas.

Negotiated cipher            TLS_AES_256_GCM_SHA384, 253 bit ECDH (X25519)

Je vais tout régénérer pour tester de nouveau.

Zargos · Mars 28, 2025, 4:26pm

Le CA est autosigné.
Le CA signe le Sub CA.
Le Sub CA signe le certificat web
Le Sub CA est importé dans le navigateur Firefox.

Test 1:
CA: clef RSA, hash SHA256
Sub CA: clef RSA, hash SHA256
Certificat site web: clef RSA, hash SHA256
Resultat: Succès.

Test 2:
CA: clef RSA, hash SHA256
Sub CA: clef RSA, hash SHA256
Certificat site web: clef ED25519, hash SHA256
Resultat: Echec: Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP

Test 3:
CA: clef RSA, hash SHA256
Sub CA: clef ED25519, hash SHA256
Certificat site web: clef ED25519, hash SHA256
Resultat: Echec: Code d’erreur : SSL_ERROR_NO_CYPHER_OVERLAP