Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Nachdem ich heute auf DSM 6.0 upgegradet hatte und ein Let's-Encrypt-Zertifikat erstellen wollte, hatte ich genau dasselbe Problem. Auch bei den anderen Domains meines Anbieters war es dasselbe Problem.
Daraufhin habe ich etwas gegoogelt und bin auf folgenden Artikel gestoßen: http://www.antary.de/2013/07/17/freedns-empfehlenswerte-dyndns-alternative/
Bei FreeDNS gibts hunderte Domainnamen und man sieht auch genau, wieviele Subdomains existieren. Habe mir dort eine Domain mit wenigen Subdomains rausgesucht und damit hats funktioniert!


Ist natürlich auch eine Möglichkeit :cool:
Allerdings hat sich nicht jeder Besitzer einer Subdomain ein Zertifikat durch Let's Encrypt erstellen lassen ;-)
Man muss einfach mal welche ausprobieren...
 

jaegerschnitzel

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Das stimmt. Allerdings denke ich, dass sich die Problematik mit zunehmener Beliebtheit von Let's Encrypt in Zukunft eher noch verschärfen wird.
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Ja, ist absolut eine Problematik, vor allem im DynDNS.Bereich. Die ist aber bekannt und soweit ich weiß befindet sich LE immer noch (bzw. gerade erst) in der public beta Phase. Man hat die Hoffnung, das einige "Schalter" nach Produktivsetzung etwas gelockert werden. Warten wir es ab. Bis hierhin ist es aber schon mal eine subba Sache ;-)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Wieso nehmt Ihr nicht einfach 'ne echte Domain bzw. nötigenfalls einfach eine nicht existierende und tragt dann Eure dyndns als alternate name ein?

Für interne Zwecke einfach alle benötigten Subdomains eintragen und in einem Zertifikat zusammenfassen; dann kommt man auch mit der Beschränkung hin.
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Beides bekommt man in aller Regel nicht kostenlos.

Mein DynDNS-Anbieter unterstützt zwar Wildcards, wäre aber kostenpflichtig. Für das Geld bekomme ich auch eine eigene de-Domäne, die ich mir ja dafür auch besorgt habe. Bei anderen Anbietern wie servermaster etc. stört mich alleine schon der telefonische Kontrollanruf. Zudem, was passiert, wenn doch jemand die Phantasie-Domäne bei denic etc. registriert? Deine sollte dann nicht mehr funktionieren, oder?
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Was willst Du mit subdomains bei DynDNS - geht ja darum Deine Geräte intern anzusprechen mit subdomain.internalDNS; nach aussen hast Du ja (IPV4) eh' nur eine IP. Und für mehrere Namen auf eine IP nutzt Du CNAME und eben ein Zertifikat mit alt names.

Achja und ohne eigene Domain werden wir bald eh' nicht mehr auskommen, spätestens wenn mind. 2 Geräte mit IPV6 erreichbar sein sollen, es sei denn, Du möchtes Dir Deine IPv6-Adressen merken.
 

jaegerschnitzel

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Wieso nehmt Ihr nicht einfach 'ne echte Domain bzw. nötigenfalls einfach eine nicht existierende und tragt dann Eure dyndns als alternate name ein?

Hatte ich natürlich auch versucht aber Let's Encrypt merkt auch beim alternate name, dass er schon verwendet wurde. Kommt also aufs gleiche raus, ob ich meinen dyndns-Namen beim Hostnamen oder bei alternate namen eingebe ;-)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Autsch - das ist natürlich ein Strickfehler bzw. vielleicht auch eben nicht, wenn man die Leute dazu bringen will, echte Domains zu nutzen.
 

The_evil007

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Weis jemand wie ich ein 4096 bit LE Cert kriege?

Per SSH mit syno-letsencrypt wollte es auch nichts von --rsa-key-size 4096 wissen :confused:
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Wenn ich zusätzliche subdomains nutzen möchte, muss ich diese dann auch zuerst in meinem Fall bei Strato anlegen? also domain.de ist dyndns. nun möchte ich noch exchange.domain.de;cloud.domain.de noch nutzen.
 

jaegerschnitzel

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Das ist je nach Hoster etwas unterschiedlich. Normalerweise werden sogenannte Subdomains nur benötigt, wenn unter der Subdomain ein Webserver erreichbar ist und eine Homepage anzeigen soll.
Wenn du nur einen zusätzlichen DNS-Eintrag erzeugen möchtest, benötigst du keine Subdomain. In diesem Fall reicht ein neuer CNAME Resource Record, welcher dann auf deine dyndns-Adresse zeigt.

Beispiel: Du hast die Domain diesisteinbeispiel.de. Jetzt erstellst du in den DNS-Settings (sofern das bei Strato überhaupt geht) einen neuen CNAME mit exchange.diesisteinbeispiel.de und setzt als Ziel deine dyndns-Adresse.
 

Equ4liz3R

Benutzer
Mitglied seit
27. Aug 2014
Beiträge
34
Punkte für Reaktionen
0
Punkte
0
Ich habe es heute auch endlich mal hinbekommen mir ein LE Zertifikat auf meine Domain ausstellen zu lassen :p
Auch bei mir ist es dyndns.wunschdomain.de. D.h. bis jetzt muss ich noch immer die Portnummern manuell dahinter schreiben, um zum Beispiel auf die Photo Station zuzugreifen.
Jetzt möchte ich auch, beipsielsweise photo.wunschdomain.de einrichten, und wenn ich das richtig verstehe, kann ich genau das mit CNAME erreichen? Leider habe ich mich noch nie damit beschäftigt.
Muss ich dann bei wunschdomain.de den neuen CNAME photo.wunschdomain.de (muss nicht als sub existieren, oder?) eingeben mit dem Ziel dyndns.wunschdomain.de?

Gilt ein LE Zertifikat eigentlich auch für subdomains, a la Wildcard?

Und das letzte ist evtl ein bisschen OT, aber kann ich irgendwo im Router einstellen, dass wenn ich zB photo.wunschdomain.de eintippe der nicht übers Netz geht, sondern quasi trotzdem lokal über 192...etc.? Ist zwar nur feintuning, aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox :p

Danke schon mal! Vllt sind auch schon Sachen im Thread beantwortet, aber ich hatte noch nicht die Zeit alles zu lese :/
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Ja, steht eigentlich schon alles hier irgendwo im Thread ;-)

1) Wildcards werden aktuell von LE nicht unterstützt

2) Ports kann man beim CNAME nicht hinterlegen. Das kannst du mit einem Reverse Proxy handeln, sodass jede Subdomain auf einen anderen Port und/oder andere IP zeigt

3) Ganz ohne inet wirst du (vermutlich) nicht auskommen können, da dein Router deine Domäne "photo.wunschdomain.de" ja nicht kennt und daher auch nicht auflösen kann. Wenn ich mich richtig entsinne, wird der Absender im HTTP-Header ebenfalls bei jeder Station durch den aktuellen (zB inet Proxy) ersetzt. Ob man da dann immer noch an die IP des wirklichen Absenders kommt, kann ich dir nicht mit Gewissheit sagen. Evtl. mit X-Forwarded-For?
 

Equ4liz3R

Benutzer
Mitglied seit
27. Aug 2014
Beiträge
34
Punkte für Reaktionen
0
Punkte
0
Wofür benötigt man denn dan CNAME jetzt genau? Ohne Portfreigaben kann man doch gar nicht von außen auf unterschiedliche Geräte in seinem Heimnetz zugreifen, oder?
Und ist Reverse Proxy eine Router, oder Hoster Option?

Dann bin ich noch auf DNS Rebinding in der FB gestoßen, habe aber nicht ganz verstanden, was diese Option bewirkt.

Ich habe ein bisschen weitergelesen und bin auf das Thema hosts-Datei gestoßen, kann man damit meinen letzten Punkt realisieren?
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
1) CNAME zeigt auf eine andere Domäne, hier auf eine DynDNS. Die DynDNS zeigt immer auf deine aktuelle öffentliche IP, weil du es ja per Updater auf dem Laufenden hälst. So kannst du dutzende Subdomains anlegen, die alle immer auf deine sich ständig ändernde öffentliche IP-Adresse zeigen.

2) Doch kann man, ich habe außer Port 80 und 443 zum Webserver, keinerlei Ports offen, nicht mal unter Portforwarding angelegt. Trotzdem komme ich so von auerhalb auf jeden meiner Dienste. NAS, Plex Server, Fritzbox, WebIf der SetTopBoxen, Drucker, diverse Serverdienste etcpp...

3) Ein Proxy fordert für dich eine Webseite von einem Webserver an und übergibt sie dir (Client). Ein Reverse Proxy macht im Grunde das gleiche, nur arbeitet hier die Adressierung genau andersherum. Der Client kennt das wahre Ziel des Webservices nicht, sondern der Proxy holt sich eine Seite anhand des Hostnames und übergibt sie dem Client. Jede Subdomain zeigt auf einen anderen Service, wenn du diese Domäne aber auflöst, bekommst du deine öffentliche IP (210.176.53.15) und nicht die des Webservices, wie z.B. eine lokale IP deines Servers (192.168.2.75)


/edit: hier ist das Thema aber eniw enig OT, darüber mitphilosophieren kannst du hier:
http://www.synology-forum.de/showthread.html?73345-DSM-6-Reverse-Proxy
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Und das letzte ist evtl ein bisschen OT, aber kann ich irgendwo im Router einstellen, dass wenn ich zB photo.wunschdomain.de eintippe der nicht übers Netz geht, sondern quasi trotzdem lokal über 192...etc.? Ist zwar nur feintuning, aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox :p
Dann bin ich noch auf DNS Rebinding in der FB gestoßen, habe aber nicht ganz verstanden, was diese Option bewirkt.
Mit der Fritte hast Du genau das, was Du brauchst, um lokal mit mit der "offiziellen" Adresse auf den "lokalen" Server zuzugreifen. DNS-Rebinding bei Fritzboxen
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Naja, meiner Meinung nach, ist das Aushebeln von Sicherheitsmechanismen kein Feature ;-)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Stimmt; deshalb die Anführungsstriche bei den entsprechenden Begriffen. Aber um dieses Ziel zu erreichen
aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox
ist es die geeignete Möglichkeit.
@DerLord: Ansichtssache ;-) IMHO ist die Nutzung einer Konfigurationmöglichkeit in der GUI des Herstellers kein "Aushebeln"; das würde für mich eher bei manuellen Änderungen von Konfigurationsdateien gelten. Aber es gibt auch Firmen, die behaupten "It's not a bug, it's a feature" :-D
 
Zuletzt bearbeitet:

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Klar, man kann über alles philosophieren, aber idR haben integrierte Sicherheitsmechanismen durchaus ihren Sinn ;-) Du kannst ja auch per GUI das "Feature" public UPnP mit einem Klick aktivieren, würdest du es tun? Je nach ISP kann es sein, dass du dann innerhalb weniger Tage Post bekommst. Aber gut, belassen wir es an dieser Stelle dabei^^

Aber, wenn es nur um die Zertifikatswarnung geht, die bekomme ich auch so nicht. Die automatische Umleitung auf HTTPS innerhalb DSM habe ich auch deaktiviert, weil es genau diesen Effekt mit sich brachte. Habs nicht näher verfolgt, sondern direkt mit nginx selbst gemacht.

Sieh hier zB:
http://www.synology-forum.de/showth...-Reverse-Proxy&p=613446&viewfull=1#post613446

Ich komme immer über meine de-Domäne an all meine lokalen Webservices, sowie innerhalb das WAN, als auch LAN, ohne Fehlermeldung. Wie es um den Sinn steht, über eine öffentliche Domäne, lokale Webservices aufzurufen, lassen wir mal außen vor, aber es geht zumindest... ;-) Ich nutze es selber zB zum Testen meiner configs,
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat