DSM 6.x und darunter Lets Encrypt TLS-SNI-01

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
Moin,

heute Nacht habe ich eine Mail bekommen, welche ich zwar bedingt verstehe aber ich habe keine Ahnung an welchen Stellschrauben ich nun schon wieder drehen muss damit mein Zertifikat weiterhin funktioniert.
Wer kann mir bitte helfen?

Hello,

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t...e-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff
 

hrshrs

Benutzer
Mitglied seit
16. Mrz 2013
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Guten Tag

ich haben genau die gleiche Problematik. Setze let's encrypt ein und muss jetzt das Zertifiakt erneuern.
Besten Dank für die Hilfe
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Hier ist Synology gefragt - bereits seit Januar 2018 ist das Protokoll ACME TLS-SNI-01 gefährdet und angekündigt, dass es ausläuft. Synology hat trotz mehrfachen Nachfragens hier keine Anpassung ihres Clients an die alternativ angebotenen Protokolle ausgerollt..
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
Das bedeutet?

- wir müssen Tickets bei Synology aufmachen?
- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?
- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?

#Mördock#
 

egal8888

Benutzer
Mitglied seit
21. Jan 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Das bedeutet?
- wir müssen Tickets bei Synology aufmachen?

Ist vielleicht das Beste.
Denke, das werde ich dann gleich heute machen.

- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?

Du kannst noch im DSM das Zertifikat bis zum 13.02. manuell verlängern.
Dann hast Du erstmal wieder 90 Tage, bis das Zertifikat ausläuft.
Die nächste Verlängerung funktioniert dann aber nicht mehr, bis Synology das gefixt hat.

- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?

Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Ruhig Blut, die Zertifikate werden nicht am 13. Februar ungültig, sie können lediglich nicht mehr automatisch oder manuell erneuert werden. Ich persönlich werde am 12. Februar nochmal manuell erneuern und dann hoffen dass es bis zum Ende der Gültigkeite dieses Zertifikats ein Update gibt für das DSM. Ein Ticket sollte bei Synology aber eröffnet werden zur Sicherheit. Ich hoffe doch, dass die Entwickler das aufm Schirm haben. :)
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
@egal8888
Scheinbar nutzt diese Methode auch den outdated Algorithmus. Daher wirst du damit nach dem 13.02 vor den selben Poller laufen.
 
Zuletzt bearbeitet:

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
Ist nur doof wenn man sein Zertifikat erst vor wenigen Tagen aktualisiert hat (so wie ich) , denn dann lässt es sich am 12. Februar noch nicht erneuern, oder bin ich da auf dem Holzweg? Habe in Erinnerung das man erst ab einem gewissen Zeitpunkt vor Ablauf des Zertifikats dieses erneuern kann.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Doch, das sollte klappen. Man darf es nur nicht zu oft hintereinander machen. Ich wette aber, dass Synology da vorher ein Update ausrollt.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
804
Punkte für Reaktionen
17
Punkte
44
Top die Wette gilt.
 

kbvqqwwee

Benutzer
Mitglied seit
03. Mrz 2016
Beiträge
175
Punkte für Reaktionen
3
Punkte
18
Wunderbar, ich hab mich einerzeit mit dem Zertifikat schon schwer getan, seit dem läuft alles... Nutze den Fernzugriff häufig und war sehr froh das es schnell und stabil funktionierte. Was mach ich nun, wieder zurück zum lahmen quickconnect?
 

MikeZulu

Benutzer
Mitglied seit
04. Mai 2016
Beiträge
101
Punkte für Reaktionen
2
Punkte
24
Dieses Thema wird auch im Forum von Lets Encrypt rege diskutiert, da nicht nur Synology-Besitzer betroffen sind.

Link zum Forum-Eintrag
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Synology benutzt http-01 (und unterstützt auch dns-01).
tls-sni-01 kam mit DSM 6.2 hinzu und wird benutzt, wenn verfügbar.
Daher vermute ich stark, dass wenn die LE Server tls-sni-01 in Zukunft wieder ablehnen/deaktivieren, die DS einfach wieder auf http-01 als fallback geht, wie seither auch.
 

taylor-77

Benutzer
Mitglied seit
08. Dez 2010
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

hier mal die Antwort vom Synology Support auf mein Ticket:

Thank you for contacting Synology support.
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.

If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.

If there is any problem, please feel free to contact us.

Yours Truly,
Technical Support
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Das sind ja mal klare gute Ansagen. Auch im Hinblick auf die Ports die wirklich benötigt werden.
Nämlich nur mehr 80 (früher war da wohl mehr notwendig, wie zB. 443 und Webstation) aber gut, dass das mal klar kommuniziert wird.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
Diese Info von Synology wurde schon früher mal kommuniziert, also nicht aufregen wegen nichts.
Die Info wegen der Zertifikatserneuerung kamm ja auch schlieslich nicht von Synology sondern von LE. Und ob man es glaubt oder nicht, es gibt noch andere Server im Universum welche ebenfalls LE verwenden.
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.

Daher holt man sich lieber eine richtige domain mit dyndns unterstützung, weil da kann man dann zu not ein billig zertifikat nehmen via Domain Validation.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat