Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Man muss ja auch keine solch schrägen Klimmzüge machen - ein kleiner lokaler DNS-Server (bspw. auch das Synology-Paket für die DS) tut's da hervorragend... - und so arbeitet man dann auch wirklich lokal, braucht also keine externe Auflösung.
 

The_evil007

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Man muss ja auch keine solch schrägen Klimmzüge machen - ein kleiner lokaler DNS-Server (bspw. auch das Synology-Paket für die DS) tut's da hervorragend... - und so arbeitet man dann auch wirklich lokal, braucht also keine externe Auflösung.

Ich wollte das letztens Probieren..

Obwohl ich, was DNS betifft, nicht unwissend bin, habe ich den DNS Server nicht zu einem CNAME mit meiner DynDNS Adresse überreden können.
 

DerLord

Benutzer
Mitglied seit
25. Mrz 2016
Beiträge
113
Punkte für Reaktionen
0
Punkte
22
Ne, den CNAME finde ich unter DSM 6 auch nicht mehr. Weiß aber auch noch nicht, ob ich mir das antue. Ich arbeite am liebsten mit statischen IPs, der DHCP ist nur für Gäste oder Geräte wo es nicht anders geht. Da dann überall den DNS-Server nachzutragen...

Ich denke, so langsam können wir hier den Thread umbenennen ;-)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... habe ich den DNS Server nicht zu einem CNAME mit meiner DynDNS Adresse überreden können.
Das hat nichts mit einem CNAME zu tun. Lokal soll der DNS-Server auf der DS Deinen DDNS- bzw. andere Domainnamen zu der LAN-IP des DS auflösen - auf diese Weise kannst Du bspw. Apps auf dem Handy immer über die Domain aufrufen, wenn Du für das WLAN den DNS auf der DS einträgst. Ist hier auch irgendwo beschrieben, daher an dieser Stelle OT Ende ;)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ich nutze den Quell-IP Filter in der Firewall, um nur ausgewählte Regionen zuzulassen.

Kann mit wer sagen, welche Region ich freischalten müsste, damit LE auf meine NAS kommt?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Die IP-Adressen sind nicht fix und werden sich zukünftig regelmäßig ändern.
Lies bspw. dazu einmal dieses.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Hmm - das finde ich jetzt weniger smart!

Ich muss ja nicht notwendigerweise 'runter auf die einzelne IP, aber auf eine Region könnten die sich m.E. schon beschränken!

Kann denn wer sagen, zu welcher Region die aktuellen IP's (66.133.109.36 und 64.78.149.164) gehören?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Kannst Du doch selbst über eine whois-Abfrage finden...
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ach Du Sch... - die sitzen ja im Land der unbegrenzten Möglichkeiten. Damit hat sich das Thema ja schon wieder erledigt!
 

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Gerade bemerkt, dass mein Zertifikat ausgetauscht wurde. Synology verlängert automatisch. Nice!
Habe ich dann auch in der Hilfe gefunden. In der Beta konnten die das noch nicht

"Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist."
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Gerade bemerkt, dass mein Zertifikat ausgetauscht wurde. Synology verlängert automatisch. Nice!
Hallo,
wie lange vor Ablauf macht die DS das? Ich habe Port 80 bei mir eigentlich nicht auf und wollte das nur tun wenn wirklich notwendig. Da es aber keinen Knopf gibt um das manuell zu machen, müsste ich den ungefähren Zeitpunkt wissen.

MfG Matthieu
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Heute gab es eine Pressemeldung, dass WordPress alle bei wordpress.com gehosteten Seiten nur noch verschlüsselt ausgeliefert werden sollen und dafür auf SSL-Zertifikate von Let's Encrypt umgestellt wird. Die Kunden bräuchten dafür nicht aktiv werden, die Umstellung erfolge automatisch.
 

-ivan

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
138
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen
Ich habe eine kleine Frage bezüglich den Zertifikaten.

Ich nutze meine Diskstation nur im internen Netzwerk.
Die Anfrage werden von HTTP automatisch auf HTTPS umgeleitet.
Jedoch erscheint jedes Mal die Warnung mit dem Synology Zertifikat.

Wie kann ich diese Meldung unterbinden (ausser die Rückstellung auf HTTP)?
Kann ich ein Let's Encrypt Zertifikat erstellen lassen?
Eine Subdomain könnte ich erstellen, möchte aber die Diskstation vorerst ausserhalb meines Netzwerks nicht erreichbar machen.
Verbindung zum Internet (via Router) ist vorhanden.

Gruss Ivan
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn du die DS nur lokal erreichen willst (und die Anzahl Clients übersichtlich ist), exportiere einfach das Zertifikat der DS und importiere das Zertifikat in deinem Browser.

Let's Encrypt bedingt eine Erreichbarkeit aus dem Internet (zumindest temporär).

Wenn du nur lokal arbeitest würde ich auch mal dein Einsatz-Szenario prüfen, ob Zugriff via SSL geschütztem http überhaupt sinnvoll ist, also, ob es ein mehr an Sicherheit bringt oder nur dem Selbstzweck dient.
 

-ivan

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
138
Punkte für Reaktionen
0
Punkte
16
Vielen Dank für Deine Antwort.
Die Erreichbarkeit ins Internet für die Generierung wäre Gewährleistet.
Bezüglich HTTP und HTTPS ist es eine schwierige Entscheidung.

1. Rückstellung auf HTTP
2. Zertifikat im Browser importieren

gibt es noch eine andere Möglichkeit?
Bleiben nach einer Cache Löschung die Zertifikate erhalten?

Gruss Ivan
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@.ivan - Bitte keine Vollzitate, schon gar nicht bei direkten Anworten, das stört den Lesefluss erheblich. Ein @user ist meist ausreichend für die Herstellung eines Bezugs.

Nein, inhaltlich fallen mir gerade nicht mehr als die drei genannten Möglichkeiten ein.

Im Browser importierte Zertifikate sind persistent. Solange du nicht den Browser wechselst, deinstallierst oder eventuell ein anderes Profil benutzt (da bin ich mir nicht sicher) bleiben die importierten Zertifikate oder CAs erhalten.
 

-ivan

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
138
Punkte für Reaktionen
0
Punkte
16
@fusion
Danke ... werde heute Abend den Import des Zertifikats im Browser vornehmen.
Muss ich ein eigenes erstellen oder reicht das Standard-Zertifikat von Synology?

Gruss Ivan
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
das Standard Zertifikat reicht aus.

Gruß Götz
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also ich halte auch intern die Nutzung von HTTPS für sinnvoll, wenn bspw. WLAN-Clients oder ein semi-trusted Subnetz o.ä. im Spiel ist.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.544
Punkte für Reaktionen
1.377
Punkte
234
Bei einem verschlüsselten WLAN (WPA2 dürfte heute bei fast jedem zu Hause Standard sein) sehe ich da kein Risiko.
Oder übersehe ich da was?

P.S.:
LE ist nun keine Beta mehr [klick]
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat