DSM 6.x und darunter Lets Encrypt TLS-SNI-01

DCAHH · 27. Jan 2019

Nutze seit Jahr und Tag duckdns und habe genauso "seit immer" das Let's Encrypt Zertifikat für meine DS am laufen. Alle drei Monate erneuern, fertig. Anfang Januar oder wann es war bekomme ich die Email von LE. Mein Zertifikat läuft 29.1.19 aus (also übermorgen). Seit drei Wochen hat es sich was mit Zertifikatsverlängerung. Und ganz ehrlich - das ist, mal wieder, Synology, die hier dem Stand der Technik (und Sicherheit) hinterherlaufen und nicht vorbereitet sind. Meine Meinung.

Gibt's hier andere, die auch schon ein Problem haben, ihr Zertifikat zu verlängern..?

Anzeige · 18. Jan 2019

Hallo mördock,

Bücher und Hardware zum Thema gibt es bei Amazon: Lets Encrypt TLS-SNI-01

goetz · 27. Jan 2019

Hallo,
ich habe gerade mein Zertifikat verlängert, kein Problem (TWODNS, SynoDDNS). Wenn es nicht funktioniert sollte man es auf der Konsole anstoßen mit -v um zu sehen wo es hakt.

Rich (BBCode):

root@DS916:~# syno-letsencrypt renew-all -v
DEBUG: Issuer name of certificate. [Synology Inc.]->[/usr/syno/etc/certificate/_archive/I161rs/cert.pem]
DEBUG: certificate is not issued by Let's encrypt. [/usr/syno/etc/certificate/_archive/XXX/cert.pem]
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/XXXXX/cert.pem]
DEBUG: start to renew [/usr/syno/etc/certificate/_archive/bApnte].
DEBUG: setup acme url https://acme-v01.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/directory
DEBUG: strat to do new-authz for xxxxx.my-wan.de
DEBUG: ==> start new authz.
DEBUG: new authz: do new-authz.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: new authz: setup challenge env.
DEBUG: ==> finish new-authz
DEBUG: finish to do new-authz for xxxxx.my-wan.de
DEBUG: strat to do new-authz for xxxxx.synology.me
DEBUG: ==> start new authz.
DEBUG: new authz: do new-authz.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: new authz: setup challenge env.
DEBUG: new authz: tls-sni-01 challenge.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/challenge/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM/11921984847
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/challenge/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM/11921984847
DEBUG: new authz: tls-sni-01 check result.
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/otscgrgqchaiar_1eqM-HBAp6qnS2TeNxKjjxA57jNM
DEBUG: ==> start new authz.
DEBUG: new authz: do new-authz.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-authz
DEBUG: new authz: setup challenge env.
DEBUG: new authz: http-01 challenge.
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/challenge/aq9igXDaTUyen-laIqjbrcOAgS6lc1M500o3lj6Go4k/11922358081
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/challenge/aq9igXDaTUyen-laIqjbrcOAgS6lc1M500o3lj6Go4k/11922358081
DEBUG: new authz: http-01 check result.
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/aq9igXDaTUyen-laIqjbrcOAgS6lc1M500o3lj6Go4k
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/authz/aq9igXDaTUyen-laIqjbrcOAgS6lc1M500o3lj6Go4k
DEBUG: ==> finish new-authz
DEBUG: finish to do new-authz for xxxx.synology.me
DEBUG: ==> start new-cert.
DEBUG: generate csr & private key
DEBUG: get new-cert
DEBUG: Post JWS Request: https://acme-v01.api.letsencrypt.org/acme/new-cert
DEBUG: Post Request: https://acme-v01.api.letsencrypt.org/acme/new-cert
DEBUG: get issuer-cert
DEBUG: GET Request: https://acme-v01.api.letsencrypt.org/acme/issuer-cert
DEBUG: save to files
DEBUG: renew success. [/usr/syno/etc/certificate/_archive/XXXXXX].

Gruß Götz

DCAHH · 27. Jan 2019

Danke für den Tipp. Es erscheint:

DEBUG: Not synology DDNS.
DEBUG: DNS challenge failed, reason: {"error":108,"file":"challenge.cpp","msg":"Not synology DDNS."}

Wieso wird DuckDNS nicht mehr unterstützt, nachdem es Jahre lang lief? Was ist da los?

tproko · 28. Jan 2019

Vielleicht ist dein Problem ja nicht LE selbst, hast du schon mal geprüft ob bei DuckDNS wirklich alles aktuell ist.
Sprich wird deine öffentliche IP nach wie vor regelmäßig aktualisiert, stimmt die IP, gibt es den Account noch, etc.?

Bei mir konnte jedenfalls LE vor 10 Tagen aktualisiert werden. Keine Warnung von LE. Habe nur Port 80 vom Router an die Syno (Standard Webserver) weiter geleitet.

Solear · 28. Jan 2019

Ich wollte jetzt mal ein LE Zertifikat erstmalig abrufen, geht nicht. Port 80 und 443 sind weitergeleitet auf die DS. Kann es sein, dass LE die Sync Abfrage schon nicht mehr akzeptiert?

MikeZulu · 28. Jan 2019

Bei mir har es heute Morgen problemlos funktioniert

yosemite · 28. Jan 2019

Ich habe heute ein bestehendes Zertifikat ebenfalls problemlos verlängern können. Dynamisches DNS und Ports steuere ich über eine Fritzbox 7490.

cubeside · 29. Jan 2019

Moin, ich konnte mein Let's Encrypt Zertifikat auch nicht mehr verlängern. Ports sind frei..

tproko · 29. Jan 2019

Dann bitte wie von goetz beschrieben auf der bash ausführen und das Log kontrollieren bzw. wenn du Hilfe benötigst hier posten.

Mondkinder · 29. Jan 2019

Hallo,
ich wollte mit dem Befehl von Oben "syno-letsencrypt renew-all -v" auch mein Zertifikat verlängern - bekomme aber ein
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/W2sBOn/cert.pem]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/W2sBOn]

Was sagt mir das - ich hatte gedacht man kann es auch manuell verlängern, auch wenn es noch nicht abgelaufen ist?

Ciao Mondkinder

goetz · 29. Jan 2019

Hallo,
wie lange ist denn Dein aktuelles Zertifikat noch gültig? Erst wenn es weniger als 30 Tage sind kann erneuert werden.

Gruß Götz

Mondkinder · 29. Jan 2019

ok 15.3. - da habe ich noch Zeit. Danke für die Information

tproko · 29. Jan 2019

Wie goetz schon schrieb.

Mondkinder schrieb:
man kann es auch manuell verlängern, auch wenn es noch nicht abgelaufen ist?

Aber hier ist noch ein kleiner Fehler. Man muss es vorher verlängern. Zwischen 0-30 Tage vorher. Sobald es abgelaufen ist, ist es abgelaufen und kann nicht erneuert werden. Dann hilft nur neu beantragen.

Mondkinder · 29. Jan 2019

Bis jetzt hat es das immer automatisch

tproko · 29. Jan 2019

Jup und das bleibt dann hoffentlich auch so

Deus of the Wired · 04. Feb 2019

Im englischen Synology-Supportforum gibt es diesen dreiseitigen Thread zur Problematik. Am 19.01.2019 um 09:20:37 postete der Nutzer Sahel seine Supportanfrage zum Problem inklusive Antwort. Die fiel so aus:

Dear Stahel,

Thank you for contacting Synology support.

The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.

Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.

If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.

Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.

For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.

If there is any problem, please feel free to contact us.

Yours Truly,

Technical Support

Ich bin etwas unschlüssig wegen der Formulierung For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility. Weshalb man mit der Nutzung des Synology-eigenen DDNS synology.me nicht davon betroffen ist, verstehe ich nicht. Kann es mir aktuell nur dadurch erklären, daß der Verbindungsaufbau dabei ja nicht mit der DS direkt geschieht, sondern der Verkehr von einem Synology-Server zur DS durchgeschleift wird. Bitte korrigieren, wenn ich damit falsch liege.

Daß nun außerdem eine Weiterleitung von Port 80 auf die DS nötig wird, sobald man einen anderen DDNS nutzt, finde ich nicht so toll. Möchte man die nicht dauerhaft aktiv haben, darf man sie alle 90 Tage im Router aktivieren, die Zertifikatserneuerung in der DS anwerfen und die Weiterleitung anschließend wieder deaktivieren. Vier- bis fünfmal pro Jahr ist zugegeben nicht häufig, aber etwas manuell erledigen zu müssen, was sich prinzipiell automatisieren läßt, ist halt blöd. Zumal man dann auch ständig einen Serientermin im Kopf/Kalender haben und in der Urlaubs/Ferienzeit vorausplanen muß.

Da ich davon ausgehe, daß der größere Teil des Forums nicht den Synology-DDNS nutzt, sondern einen anderen wie z. B. afraid.org oder spdns.de: Wie werdet ihr das erledigen?

Fusion · 04. Feb 2019

Auch mit Syno-DDNS bräuchtest du einen offenen Port 80. Nur falls das nicht geht greifen sie wohl auf das aufwändigere DNS-01 zurück bei dem sie TXT Records in den Syno-DNS einbringen müssen (die die LE Server dann prüfen können, ob die TXT für deine.syno-DDNS.me im DNS abrufbar sind). Bei diesen Schritten geht es nur um die Domain Validierung, also einer Art Nachweis, dass man die Domain für die man ein Zertifikat beantragt in irgendeiner Form kontrolliert.
Wieso http-01 und dns-01 als Fallback und nicht anders herum kann ich dir nicht erklären, logisch fände ich jedenfalls anders herum. Aber das ist halt das was der Support da babbelt.

Bezüglich dem LE Zertifikat handhabe ich das wie die letzten 1-2 Jahre auch. Die DS ist ein Server und der ist 24/7 am laufen und via 80/443 erreichbar für diverse Dienste (natürlich alle Dienste nur über SSL).
Ansonsten, je nachdem wer zugreifen muss, reicht ja auch einfach den Zugriff auf VPN zu beschränken, oder sich einfach ein selbst-signiertes Zertifikat auszustellen, das deutlich längere Laufzeiten hat. Hast zwar kein schönes Schloss Symbol, aber sicher ist der Zugriff dennoch.

servilianus · 07. Feb 2019

Hallo zusammen, jetzt bin ich nach den Posts hier etwas verwirrt. Bitte Euch um Aufklärung. Ich habe eine feste IP, Domain via Strato, Let´s Encrypt-Zertifikat dafür in der Syno mit diversen Aliasen für die Subdomains. Muss ich mir nach März Sorgen machen? Noch einmal vor März aktualisieren - und was passiert dann? Oder bin ich gar nicht betroffen? Danke Euch!

Fusion · 07. Feb 2019

@servilianus - wenn du seither auch Port 80/443 offen hast, dann ändert sich für dich gar nichts.

servilianus · 07. Feb 2019

Super, danke für die schnelle Info!

DSM 6.x und darunter Lets Encrypt TLS-SNI-01

Benutzer

Super-Moderator

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Super-Moderator

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat