DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

[Nightlover]

@mördock also ich bin mit diesem SSL-Zertifikat sehr zufrieden und da siehst auch gleich die Preise für 1, 2 oder 3 Jahre.

Night

 

[bitrot]

Seitdem kostenlose SAN-Zertifikate ('Subject Alternative Name', bis zu 10 (!) SAN kostenlos) bei StartSSL eine Gültigkeit von 3 Jahren haben, ist das Gefrickel mit Let's Encrypt für die allermeisten Privatanwender völlig unnötig. Kaufen muss man sich ein Zertifikat auch nicht, zumal ein vergleichbares ziemlich viel Geld kostet.

 

[Matthieu]

Ich würde StartSSL nicht mehr empfehlen. Die fliegen gerade hochkant aus den Webbrowsern:
http://www.golem.de/news/zertifikate-auch-google-wirft-wosign-und-startcom-raus-1611-124162.html

MfG Matthieu

 

[bitrot]

Guter Einwand. Leider wurde mittlerweile diese für Heimuser sehr praktische, kostenlose Möglichkeit quasi unbrauchbar gemacht. Es bleibt schon ein fader Nachgeschmack bei der ganzen Sache, Vorwürfe an StartCom und vor allem Wosign hin oder her.

Let's Encrypt, zumal so sauber eingebunden wie bei Synology (QNAP zieht erst mit der kommenden QTS Version 4.3 nach), mag ja für einzelne DS/ Server / Websites / etc. sehr sinnvoll sein, jedoch potenziert sich der Administrierungsaufwand schon erheblich, wenn mehrere Systeme eingebunden werden sollen.

Ich habe jedenfalls in den sauren Apfel gebissen und mir ein 3 Jahre gültiges Wildcard Zertifikat für meine Domain besorgt.

 

[Matthieu]

Den Aufwand bei Startcom fand ich persönlich deutlich größer als bei Lets Encrypt. Seit der Beta hatte ich auf meinen mehreren DSen nur einen Fall in dem die Erneuerung nicht funktioniert hat. Gelöscht, neu erstellt, fertig. Dürfte in etwa so lange gedauert haben wie eine StartCom-Erneuerung.

MfG Matthieu

 

[bitrot]

Die Startcom Erneuerung ist jedoch ein mal alle drei Jahre, nicht alle drei Monate, und das 'zentral' für alle SAN. Kein Wildcard zwar, aber dennoch eher geringer Aufwand. Die Zertifikate müssen ja auch noch auf den Kisten aktualisiert / eingepflegt werden. selbst wenn man die Erneuerung durch eine Syno automatisch abwickeln lässt.

 

[Alphonse_Hoyt]

Bei mir geht das alles automatisch mit Letsencrypt SSL, Nachteil, Alle Geräte müssen demnach nur wieder manuell "bestätigt" werden

 

[Matthieu]

Da würde mich interessieren: Warum? Ich kann es mir nicht ganz erklären. Machen die Apps das auch bei "bezahlten" Zertifikaten, nur eben nicht so oft? Ich finde das ziemlich nervig. Eigentlich geht es bei Zertifikaten ja darum, der Gegenseite ohne größere Prüfung zu vertrauen (entsprechende Diskussionen über den Sinn dieses Verhaltens mal außen vor gelassen).

MfG Matthieu

 

[Andy14]

Keine Ahnung ob das nach und nach "entfernt" wird oder welcher Zusammenhang da besteht.
In einem anderen Thread war das ja schon mal bei der Cloudstation bemängelt worden!
Da hatte ich mit dem Zertifikatserneuerung am Montag keinerlei Probleme! Also habe ich gerade mal die anderen Apps die ich so nutze getestet.
DS Audio/Video/Photo zeigten eine Warnung mit einem Wechsel des Fingerprint an.
DS Cam/File/Cloud zeigten keine Warnung.

 

[Fusion]

Was mich da halt stört ist, dass z.B. der Fingerprint nicht einfach einsehbar ist in der DSM Systemsteuerung und dadurch die Prüfung unnötig erschwert.
Mitbekommen will man es ja eigentlich schon, oder es müsste ein anderer Mechanismus greifen, so dass trotz geändertem Fingerprint sichergestellt ist, dass das Zertifikat noch das korrekte auf der DS erneuerte ist und sich nicht jemand versucht als Man-in-the-middle in die Kommunikation einzuhängen. Wie das komfortabler gehen könnte als durch den Fingerprintabgleich weiß ich grad auch nicht.

Das sollte eigentlich bei jedem Zertifikat so sein, sonst wäre es nicht nur unschön sondern auch inkonsistent programmiert.

Zumindest bei den DS Apps sollte es aber eigentlich möglich sein z.B. bei Erstkontakt nach einem Wechsel kurz den alten und neuen Fingerprint, kryptographisch authentifiziert, mit der Gegenstelle abzugeleichen und bei Erfolg einfach stillschweigend fort zu fahren. Also sich weder einer potentiellen MITM Attacke auszusetzen, noch am Komfort/Nervfaktor zu viele Abstriche machen zu müssen.
Alles andere würde ja die Sicherheit reduzieren, oder die Leute davon abbringen es zu nutzen.

 

[Nanuk]

Seitdem kostenlose SAN-Zertifikate ('Subject Alternative Name', bis zu 10 (!) SAN kostenlos) bei StartSSL eine Gültigkeit von 3 Jahren haben, ist das Gefrickel mit Let's Encrypt für die allermeisten Privatanwender völlig unnötig. Kaufen muss man sich ein Zertifikat auch nicht, zumal ein vergleichbares ziemlich viel Geld kostet.

Ich stand jetzt auch vor der Frage, mit welchem Anbieter ich weiter mache. Da ich hier im Forum von manchen Lets-encrypt-usern lese, dass die automatische Verlängerung nicht funktioniert, war ich etwas unsicher und habe mich nochmal für StartSSL entschieden. Siehe da: Das Zertifikat ist jetzt drei Jahre gültig statt bisher ein Jahr.

OK, das Problem mit Firefox und Chrome existiert, lässt sich aber relativ leicht lösen: Im Zertifikatsmanager einfach dem Ausstellerzertifikat von "StartCom Class 1 DV Server CA" das Vertrauen aussprechen und schon flutscht alles wieder wie vorher. Ich hatte auch keine Meckerei oder Meldungen wegen Zertifikatswechsel - weder bei Thunderbird-CalDAV, CardBook-CardDAV, noch bei DS-Audio, DS-Photo, DS-Note, DS-File oder CloudStationDrive.

Natürlich müssen alle, die über Firefox oder Chrome auf die DS zugreifen, einmal dem o.g. Aussteller das Vertrauen aussprechen, aber dafür ist dann für drei Jahre Ruhe.

Gruß
Nanuk

 

[bitrot]

Kann man so natürlich machen. Ich finde es nach wie vor schade, dass für Heimuser die Möglichkeit, über StartSSL kostenlos an ein drei Jahre gültiges Zertifikat mit bis zu 10 SAN zu kommen nicht mehr gegeben ist.

Der Sinn eines Zertifikats ist ja, dass diesem für die verschlüsselte Übertragung 'Vertrauen' entgegen gebracht wird. Wenn man aber jetzt dieses 'Vertrauen' über eine Ausnahme stets selbst 'erzwingen' muss, widerspricht das eigentlich dem Grundgedanken eines solchen Zertifikats. Für den Heimgebrauch kann man, je nach Komplexität des Heimnetzwerks und der damit abgesicherten Server / Dienste, sicherlich damit leben. Wirklich befriedigend ist das aber mMn nicht.

Ich habe mittlerweile, wie gesagt, in den sauren Apfel gebissen und mir ein Wildcard Zertifikat gekauft. Zum Glück gibt es auch bei Zertifikaten mittlerweile Konkurrenzkampf, so dass man nicht mehr gezwungen ist, die Wucherpreise der Vergangenheit zu zahlen.

 

[ju^ju]

Mein Let's Encrypt Zertifikat hat sich bisher immer automatisch erneuert auf der DS. Jetzt auf einmal nicht mehr (evtl. seit dem Update auf DSM 6.1-15047?). Mit dem Script und offenem Port 80 ging es dann, aber da muss ja irgendwas geändert worden sein. Bisher ging es immer ohne... Jemand ähnliches erlebt?

 

[xelarep]

Hallo bitrot

ich hab im Januar StartSSL erst (kostenlos) erneuert: 3 Jahre Laufzeit statt bisher 1 Jahr?! Daneben hab ich letztes Jahr einfach ein weiteres Zertifikat erstellt, in dem ich weitere Subdomains aufgenommen habe. So habe ich mit zwei Zertifikaten momentan 9 Subdomains aufgenommen.

Letztendlich kann man im DSM Zertifikatsmanager ja das jeweilige Zertifikat dem entsprechenden Zweck zuweisen?!

Oder hab ich dich falsch verstanden?

BTW: wildcard fände ich inzwischen auch schick, für wen hast Du dich denn entschieden? Gerne auch per PN.

Alexander

[Nachtrag] Sorry, gerade erst realisiert SAN hat hier ja nen anderen Kontext... Hab's gerade erst verstanden... Meine Frage bleibt aber ;-)

 

[bitrot]

Der Vorteil der StartSSL SAN Zertifikate ist, dass du mit einem einzigen Zertifikat bis zu 10 Subdomains mit abfrühstücken kannst. Du musst nur das eine Zertifikat bei den zu sichernden Servern / Diensten einbinden, und schon können diese auch unter der jeweiligen Subdomain aufgerufen werden, ohne dass der Browser eine Fehlermeldung ausgibt.

StartSSL hat sich jedoch aus den bereits weiter oben beschriebenen Gründen mittlerweile erledigt. Zu dem kommerziellen Wildcard Zertifikat, das ich seitdem nutze, hatte ich mich hier geäußert.

 

[xelarep]

Der Vorteil der StartSSL SAN Zertifikate ist, dass du mit einem einzigen Zertifikat bis zu 10 Subdomains mit abfrühstücken kannst. Du musst nur das eine Zertifikat bei den zu sichernden Servern / Diensten einbinden, und schon können diese auch unter der jeweiligen Subdomain aufgerufen werden, ohne dass der Browser eine Fehlermeldung ausgibt.

Hm, genau das habe ich mit zwei StartSSL Zertifikaten ja auch erreicht?!

StartSSL hat sich jedoch aus den bereits weiter oben beschriebenen Gründen mittlerweile erledigt. Zu dem kommerziellen Wildcard Zertifikat, das ich seitdem nutze, hatte ich mich hier geäußert.

Danke, das sieht interessant aus! Sehe ich mir mal genauer an!
Alexander

 

[bl3d2death]

Ich bin verwirrt. Ich hatte vor einem Jahr ein Lets Encrypt Zertifikat erstellt. Das lief lustigerweise etwa ein Jahr ohne das ich was verlängern/erneuern musste (auch die Ports 80+43 sind dauerhaft geschlossen gewesen).
Nun habe ich zum ersten mal (soweit ich mich erinnere) eine Mail bekommen, dass das Zertifikat ausläuft, was nun auch der Fall ist. Aber wieso erneuert es sich nicht wie sonst auch immer? Einstellungen wurden ja nicht geändert!

Wenn ich das über CSR verlängern will, bekomme ich die archive.zip ausgespuckt die ich iwo einreichen soll

Ich sehe auch nicht ein die Ports freizugeben, weil es ja bisher auch ohne lief. Wie kann ich also problemlos das abgelaufene Zertifikat erneuern?!

 

[Computerhirn]

Hallo bl3d2death,

was du gerade schreibst regt mich irgendwie auf. Entweder du hast genug Ahnung von der Materie und machst dir ein neues Zertifikat beziehungsweise erneuerst das alte, natuerlich beides in Hand-Arbeit, oder du oeffnest einfach den Port 80 (einfach ueber Nacht stehen lassen) eingehend fuer deine DiskStation und laesst diese das Zertifikat automatisch erneuern.

Ciao

 

[mördock]

Nabend,

@ju^ju: Kann bestätigen das seit dem Update auf DSM 6.1 das Zertifikat nicht mehr automatisch erneuert wird. Ging auch bei mir bisher immer problemlos von alleine.
Auch ich musste nun manuell eingreifen. Mit dem Script von Goetz aus #20 geht es einwandfrei.

Mördock

 

[Falkenfelser]