Let's Encrypt: kostenlose SSL-Zertifikate

[DerLord]

Nachdem ich heute auf DSM 6.0 upgegradet hatte und ein Let's-Encrypt-Zertifikat erstellen wollte, hatte ich genau dasselbe Problem. Auch bei den anderen Domains meines Anbieters war es dasselbe Problem.
Daraufhin habe ich etwas gegoogelt und bin auf folgenden Artikel gestoßen: http://www.antary.de/2013/07/17/freedns-empfehlenswerte-dyndns-alternative/
Bei FreeDNS gibts hunderte Domainnamen und man sieht auch genau, wieviele Subdomains existieren. Habe mir dort eine Domain mit wenigen Subdomains rausgesucht und damit hats funktioniert!

Ist natürlich auch eine Möglichkeit
Allerdings hat sich nicht jeder Besitzer einer Subdomain ein Zertifikat durch Let's Encrypt erstellen lassen ;-)
Man muss einfach mal welche ausprobieren...

 

[jaegerschnitzel]

Das stimmt. Allerdings denke ich, dass sich die Problematik mit zunehmener Beliebtheit von Let's Encrypt in Zukunft eher noch verschärfen wird.

 

[DerLord]

Ja, ist absolut eine Problematik, vor allem im DynDNS.Bereich. Die ist aber bekannt und soweit ich weiß befindet sich LE immer noch (bzw. gerade erst) in der public beta Phase. Man hat die Hoffnung, das einige "Schalter" nach Produktivsetzung etwas gelockert werden. Warten wir es ab. Bis hierhin ist es aber schon mal eine subba Sache ;-)

 

[whitbread]

Wieso nehmt Ihr nicht einfach 'ne echte Domain bzw. nötigenfalls einfach eine nicht existierende und tragt dann Eure dyndns als alternate name ein?

Für interne Zwecke einfach alle benötigten Subdomains eintragen und in einem Zertifikat zusammenfassen; dann kommt man auch mit der Beschränkung hin.

 

[DerLord]

Beides bekommt man in aller Regel nicht kostenlos.

Mein DynDNS-Anbieter unterstützt zwar Wildcards, wäre aber kostenpflichtig. Für das Geld bekomme ich auch eine eigene de-Domäne, die ich mir ja dafür auch besorgt habe. Bei anderen Anbietern wie servermaster etc. stört mich alleine schon der telefonische Kontrollanruf. Zudem, was passiert, wenn doch jemand die Phantasie-Domäne bei denic etc. registriert? Deine sollte dann nicht mehr funktionieren, oder?

 

[whitbread]

Was willst Du mit subdomains bei DynDNS - geht ja darum Deine Geräte intern anzusprechen mit subdomain.internalDNS; nach aussen hast Du ja (IPV4) eh' nur eine IP. Und für mehrere Namen auf eine IP nutzt Du CNAME und eben ein Zertifikat mit alt names.

Achja und ohne eigene Domain werden wir bald eh' nicht mehr auskommen, spätestens wenn mind. 2 Geräte mit IPV6 erreichbar sein sollen, es sei denn, Du möchtes Dir Deine IPv6-Adressen merken.

 

[jaegerschnitzel]

Wieso nehmt Ihr nicht einfach 'ne echte Domain bzw. nötigenfalls einfach eine nicht existierende und tragt dann Eure dyndns als alternate name ein?

Hatte ich natürlich auch versucht aber Let's Encrypt merkt auch beim alternate name, dass er schon verwendet wurde. Kommt also aufs gleiche raus, ob ich meinen dyndns-Namen beim Hostnamen oder bei alternate namen eingebe ;-)

 

[whitbread]

Autsch - das ist natürlich ein Strickfehler bzw. vielleicht auch eben nicht, wenn man die Leute dazu bringen will, echte Domains zu nutzen.

 

[The_evil007]

Weis jemand wie ich ein 4096 bit LE Cert kriege?

Per SSH mit syno-letsencrypt wollte es auch nichts von --rsa-key-size 4096 wissen

 

[blinddark]

Wenn ich zusätzliche subdomains nutzen möchte, muss ich diese dann auch zuerst in meinem Fall bei Strato anlegen? also domain.de ist dyndns. nun möchte ich noch exchange.domain.de;cloud.domain.de noch nutzen.

 

[jaegerschnitzel]

Das ist je nach Hoster etwas unterschiedlich. Normalerweise werden sogenannte Subdomains nur benötigt, wenn unter der Subdomain ein Webserver erreichbar ist und eine Homepage anzeigen soll.
Wenn du nur einen zusätzlichen DNS-Eintrag erzeugen möchtest, benötigst du keine Subdomain. In diesem Fall reicht ein neuer CNAME Resource Record, welcher dann auf deine dyndns-Adresse zeigt.

Beispiel: Du hast die Domain diesisteinbeispiel.de. Jetzt erstellst du in den DNS-Settings (sofern das bei Strato überhaupt geht) einen neuen CNAME mit exchange.diesisteinbeispiel.de und setzt als Ziel deine dyndns-Adresse.

 

[Equ4liz3R]

Ich habe es heute auch endlich mal hinbekommen mir ein LE Zertifikat auf meine Domain ausstellen zu lassen
Auch bei mir ist es dyndns.wunschdomain.de. D.h. bis jetzt muss ich noch immer die Portnummern manuell dahinter schreiben, um zum Beispiel auf die Photo Station zuzugreifen.
Jetzt möchte ich auch, beipsielsweise photo.wunschdomain.de einrichten, und wenn ich das richtig verstehe, kann ich genau das mit CNAME erreichen? Leider habe ich mich noch nie damit beschäftigt.
Muss ich dann bei wunschdomain.de den neuen CNAME photo.wunschdomain.de (muss nicht als sub existieren, oder?) eingeben mit dem Ziel dyndns.wunschdomain.de?

Gilt ein LE Zertifikat eigentlich auch für subdomains, a la Wildcard?

Und das letzte ist evtl ein bisschen OT, aber kann ich irgendwo im Router einstellen, dass wenn ich zB photo.wunschdomain.de eintippe der nicht übers Netz geht, sondern quasi trotzdem lokal über 192...etc.? Ist zwar nur feintuning, aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox

Danke schon mal! Vllt sind auch schon Sachen im Thread beantwortet, aber ich hatte noch nicht die Zeit alles zu lese :/

 

[DerLord]

Ja, steht eigentlich schon alles hier irgendwo im Thread ;-)

1) Wildcards werden aktuell von LE nicht unterstützt

2) Ports kann man beim CNAME nicht hinterlegen. Das kannst du mit einem Reverse Proxy handeln, sodass jede Subdomain auf einen anderen Port und/oder andere IP zeigt

3) Ganz ohne inet wirst du (vermutlich) nicht auskommen können, da dein Router deine Domäne "photo.wunschdomain.de" ja nicht kennt und daher auch nicht auflösen kann. Wenn ich mich richtig entsinne, wird der Absender im HTTP-Header ebenfalls bei jeder Station durch den aktuellen (zB inet Proxy) ersetzt. Ob man da dann immer noch an die IP des wirklichen Absenders kommt, kann ich dir nicht mit Gewissheit sagen. Evtl. mit X-Forwarded-For?

 

[Equ4liz3R]

Wofür benötigt man denn dan CNAME jetzt genau? Ohne Portfreigaben kann man doch gar nicht von außen auf unterschiedliche Geräte in seinem Heimnetz zugreifen, oder?
Und ist Reverse Proxy eine Router, oder Hoster Option?

Dann bin ich noch auf DNS Rebinding in der FB gestoßen, habe aber nicht ganz verstanden, was diese Option bewirkt.

Ich habe ein bisschen weitergelesen und bin auf das Thema hosts-Datei gestoßen, kann man damit meinen letzten Punkt realisieren?

 

[DerLord]

1) CNAME zeigt auf eine andere Domäne, hier auf eine DynDNS. Die DynDNS zeigt immer auf deine aktuelle öffentliche IP, weil du es ja per Updater auf dem Laufenden hälst. So kannst du dutzende Subdomains anlegen, die alle immer auf deine sich ständig ändernde öffentliche IP-Adresse zeigen.

2) Doch kann man, ich habe außer Port 80 und 443 zum Webserver, keinerlei Ports offen, nicht mal unter Portforwarding angelegt. Trotzdem komme ich so von auerhalb auf jeden meiner Dienste. NAS, Plex Server, Fritzbox, WebIf der SetTopBoxen, Drucker, diverse Serverdienste etcpp...

3) Ein Proxy fordert für dich eine Webseite von einem Webserver an und übergibt sie dir (Client). Ein Reverse Proxy macht im Grunde das gleiche, nur arbeitet hier die Adressierung genau andersherum. Der Client kennt das wahre Ziel des Webservices nicht, sondern der Proxy holt sich eine Seite anhand des Hostnames und übergibt sie dem Client. Jede Subdomain zeigt auf einen anderen Service, wenn du diese Domäne aber auflöst, bekommst du deine öffentliche IP (210.176.53.15) und nicht die des Webservices, wie z.B. eine lokale IP deines Servers (192.168.2.75)


/edit: hier ist das Thema aber eniw enig OT, darüber mitphilosophieren kannst du hier:
http://www.synology-forum.de/showthread.html?73345-DSM-6-Reverse-Proxy

 

[Tuvok42]

Und das letzte ist evtl ein bisschen OT, aber kann ich irgendwo im Router einstellen, dass wenn ich zB photo.wunschdomain.de eintippe der nicht übers Netz geht, sondern quasi trotzdem lokal über 192...etc.? Ist zwar nur feintuning, aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox

Dann bin ich noch auf DNS Rebinding in der FB gestoßen, habe aber nicht ganz verstanden, was diese Option bewirkt.

Mit der Fritte hast Du genau das, was Du brauchst, um lokal mit mit der "offiziellen" Adresse auf den "lokalen" Server zuzugreifen. DNS-Rebinding bei Fritzboxen

 

[DerLord]

Naja, meiner Meinung nach, ist das Aushebeln von Sicherheitsmechanismen kein Feature ;-)

 

[Frogman]

Mit der Fritte hast Du genau das, was Du brauchst, um lokal mit mit der "offiziellen" Adresse auf den "lokalen" Server zuzugreifen. DNS-Rebinding bei Fritzboxen

Wobei das nicht wirklich ein lokaler Zugriff ist - denn die externe Auflösung über einen DNS benötigst Du immer noch.

 

[Tuvok42]

Stimmt; deshalb die Anführungsstriche bei den entsprechenden Begriffen. Aber um dieses Ziel zu erreichen

aber dann gibt es auch lokal keine Zertifikatswarnung von Firefox

ist es die geeignete Möglichkeit.
@DerLord: Ansichtssache ;-) IMHO ist die Nutzung einer Konfigurationmöglichkeit in der GUI des Herstellers kein "Aushebeln"; das würde für mich eher bei manuellen Änderungen von Konfigurationsdateien gelten. Aber es gibt auch Firmen, die behaupten "It's not a bug, it's a feature" :-D

 

[DerLord]

Klar, man kann über alles philosophieren, aber idR haben integrierte Sicherheitsmechanismen durchaus ihren Sinn ;-) Du kannst ja auch per GUI das "Feature" public UPnP mit einem Klick aktivieren, würdest du es tun? Je nach ISP kann es sein, dass du dann innerhalb weniger Tage Post bekommst. Aber gut, belassen wir es an dieser Stelle dabei^^

Aber, wenn es nur um die Zertifikatswarnung geht, die bekomme ich auch so nicht. Die automatische Umleitung auf HTTPS innerhalb DSM habe ich auch deaktiviert, weil es genau diesen Effekt mit sich brachte. Habs nicht näher verfolgt, sondern direkt mit nginx selbst gemacht.

Sieh hier zB:
http://www.synology-forum.de/showth...-Reverse-Proxy&p=613446&viewfull=1#post613446

Ich komme immer über meine de-Domäne an all meine lokalen Webservices, sowie innerhalb das WAN, als auch LAN, ohne Fehlermeldung. Wie es um den Sinn steht, über eine öffentliche Domäne, lokale Webservices aufzurufen, lassen wir mal außen vor, aber es geht zumindest... ;-) Ich nutze es selber zB zum Testen meiner configs,