Let's Encrypt: kostenlose SSL-Zertifikate

[Frogman]

Man muss ja auch keine solch schrägen Klimmzüge machen - ein kleiner lokaler DNS-Server (bspw. auch das Synology-Paket für die DS) tut's da hervorragend... - und so arbeitet man dann auch wirklich lokal, braucht also keine externe Auflösung.

 

[The_evil007]

Man muss ja auch keine solch schrägen Klimmzüge machen - ein kleiner lokaler DNS-Server (bspw. auch das Synology-Paket für die DS) tut's da hervorragend... - und so arbeitet man dann auch wirklich lokal, braucht also keine externe Auflösung.

Ich wollte das letztens Probieren..

Obwohl ich, was DNS betifft, nicht unwissend bin, habe ich den DNS Server nicht zu einem CNAME mit meiner DynDNS Adresse überreden können.

 

[DerLord]

Ne, den CNAME finde ich unter DSM 6 auch nicht mehr. Weiß aber auch noch nicht, ob ich mir das antue. Ich arbeite am liebsten mit statischen IPs, der DHCP ist nur für Gäste oder Geräte wo es nicht anders geht. Da dann überall den DNS-Server nachzutragen...

Ich denke, so langsam können wir hier den Thread umbenennen ;-)

 

[Frogman]

... habe ich den DNS Server nicht zu einem CNAME mit meiner DynDNS Adresse überreden können.

Das hat nichts mit einem CNAME zu tun. Lokal soll der DNS-Server auf der DS Deinen DDNS- bzw. andere Domainnamen zu der LAN-IP des DS auflösen - auf diese Weise kannst Du bspw. Apps auf dem Handy immer über die Domain aufrufen, wenn Du für das WLAN den DNS auf der DS einträgst. Ist hier auch irgendwo beschrieben, daher an dieser Stelle OT Ende

 

[whitbread]

Ich nutze den Quell-IP Filter in der Firewall, um nur ausgewählte Regionen zuzulassen.

Kann mit wer sagen, welche Region ich freischalten müsste, damit LE auf meine NAS kommt?

 

[Frogman]

Die IP-Adressen sind nicht fix und werden sich zukünftig regelmäßig ändern.
Lies bspw. dazu einmal dieses.

 

[whitbread]

Hmm - das finde ich jetzt weniger smart!

Ich muss ja nicht notwendigerweise 'runter auf die einzelne IP, aber auf eine Region könnten die sich m.E. schon beschränken!

Kann denn wer sagen, zu welcher Region die aktuellen IP's (66.133.109.36 und 64.78.149.164) gehören?

 

[Frogman]

Kannst Du doch selbst über eine whois-Abfrage finden...

 

[whitbread]

Ach Du Sch... - die sitzen ja im Land der unbegrenzten Möglichkeiten. Damit hat sich das Thema ja schon wieder erledigt!

 

[Olli991]

Gerade bemerkt, dass mein Zertifikat ausgetauscht wurde. Synology verlängert automatisch. Nice!
Habe ich dann auch in der Hilfe gefunden. In der Beta konnten die das noch nicht

"Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrer Synology NAS und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist."

 

[Matthieu]

Gerade bemerkt, dass mein Zertifikat ausgetauscht wurde. Synology verlängert automatisch. Nice!

Hallo,
wie lange vor Ablauf macht die DS das? Ich habe Port 80 bei mir eigentlich nicht auf und wollte das nur tun wenn wirklich notwendig. Da es aber keinen Knopf gibt um das manuell zu machen, müsste ich den ungefähren Zeitpunkt wissen.

MfG Matthieu

 

[Frogman]

Heute gab es eine Pressemeldung, dass WordPress alle bei wordpress.com gehosteten Seiten nur noch verschlüsselt ausgeliefert werden sollen und dafür auf SSL-Zertifikate von Let's Encrypt umgestellt wird. Die Kunden bräuchten dafür nicht aktiv werden, die Umstellung erfolge automatisch.

 

[-ivan]

Hallo zusammen
Ich habe eine kleine Frage bezüglich den Zertifikaten.

Ich nutze meine Diskstation nur im internen Netzwerk.
Die Anfrage werden von HTTP automatisch auf HTTPS umgeleitet.
Jedoch erscheint jedes Mal die Warnung mit dem Synology Zertifikat.

Wie kann ich diese Meldung unterbinden (ausser die Rückstellung auf HTTP)?
Kann ich ein Let's Encrypt Zertifikat erstellen lassen?
Eine Subdomain könnte ich erstellen, möchte aber die Diskstation vorerst ausserhalb meines Netzwerks nicht erreichbar machen.
Verbindung zum Internet (via Router) ist vorhanden.

Gruss Ivan

 

[Fusion]

Wenn du die DS nur lokal erreichen willst (und die Anzahl Clients übersichtlich ist), exportiere einfach das Zertifikat der DS und importiere das Zertifikat in deinem Browser.

Let's Encrypt bedingt eine Erreichbarkeit aus dem Internet (zumindest temporär).

Wenn du nur lokal arbeitest würde ich auch mal dein Einsatz-Szenario prüfen, ob Zugriff via SSL geschütztem http überhaupt sinnvoll ist, also, ob es ein mehr an Sicherheit bringt oder nur dem Selbstzweck dient.

 

[-ivan]

Vielen Dank für Deine Antwort.
Die Erreichbarkeit ins Internet für die Generierung wäre Gewährleistet.
Bezüglich HTTP und HTTPS ist es eine schwierige Entscheidung.

1. Rückstellung auf HTTP
2. Zertifikat im Browser importieren

gibt es noch eine andere Möglichkeit?
Bleiben nach einer Cache Löschung die Zertifikate erhalten?

Gruss Ivan

 

[Fusion]

@.ivan - Bitte keine Vollzitate, schon gar nicht bei direkten Anworten, das stört den Lesefluss erheblich. Ein @user ist meist ausreichend für die Herstellung eines Bezugs.

Nein, inhaltlich fallen mir gerade nicht mehr als die drei genannten Möglichkeiten ein.

Im Browser importierte Zertifikate sind persistent. Solange du nicht den Browser wechselst, deinstallierst oder eventuell ein anderes Profil benutzt (da bin ich mir nicht sicher) bleiben die importierten Zertifikate oder CAs erhalten.

 

[-ivan]

@fusion
Danke ... werde heute Abend den Import des Zertifikats im Browser vornehmen.
Muss ich ein eigenes erstellen oder reicht das Standard-Zertifikat von Synology?

Gruss Ivan

 

[goetz]

Hallo,
das Standard Zertifikat reicht aus.

Gruß Götz

 

[whitbread]

Also ich halte auch intern die Nutzung von HTTPS für sinnvoll, wenn bspw. WLAN-Clients oder ein semi-trusted Subnetz o.ä. im Spiel ist.

 

[geimist]

Bei einem verschlüsselten WLAN (WPA2 dürfte heute bei fast jedem zu Hause Standard sein) sehe ich da kein Risiko.
Oder übersehe ich da was?

P.S.:
LE ist nun keine Beta mehr [klick]