DSM 6.x und darunter Let's Encrypt Zertifikat abgelaufen - wie erneuern

Alle DSM Version von DSM 6.x und älter

Nightlover

Benutzer
Mitglied seit
29. Mrz 2016
Beiträge
529
Punkte für Reaktionen
0
Punkte
0
@mördock also ich bin mit diesem SSL-Zertifikat sehr zufrieden und da siehst auch gleich die Preise für 1, 2 oder 3 Jahre.

Night
 

bitrot

Benutzer
Mitglied seit
22. Aug 2015
Beiträge
878
Punkte für Reaktionen
0
Punkte
36
Seitdem kostenlose SAN-Zertifikate ('Subject Alternative Name', bis zu 10 (!) SAN kostenlos) bei StartSSL eine Gültigkeit von 3 Jahren haben, ist das Gefrickel mit Let's Encrypt für die allermeisten Privatanwender völlig unnötig. Kaufen muss man sich ein Zertifikat auch nicht, zumal ein vergleichbares ziemlich viel Geld kostet.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

bitrot

Benutzer
Mitglied seit
22. Aug 2015
Beiträge
878
Punkte für Reaktionen
0
Punkte
36
Guter Einwand. Leider wurde mittlerweile diese für Heimuser sehr praktische, kostenlose Möglichkeit quasi unbrauchbar gemacht. Es bleibt schon ein fader Nachgeschmack bei der ganzen Sache, Vorwürfe an StartCom und vor allem Wosign hin oder her.

Let's Encrypt, zumal so sauber eingebunden wie bei Synology (QNAP zieht erst mit der kommenden QTS Version 4.3 nach), mag ja für einzelne DS/ Server / Websites / etc. sehr sinnvoll sein, jedoch potenziert sich der Administrierungsaufwand schon erheblich, wenn mehrere Systeme eingebunden werden sollen.

Ich habe jedenfalls in den sauren Apfel gebissen und mir ein 3 Jahre gültiges Wildcard Zertifikat für meine Domain besorgt.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Den Aufwand bei Startcom fand ich persönlich deutlich größer als bei Lets Encrypt. Seit der Beta hatte ich auf meinen mehreren DSen nur einen Fall in dem die Erneuerung nicht funktioniert hat. Gelöscht, neu erstellt, fertig. Dürfte in etwa so lange gedauert haben wie eine StartCom-Erneuerung.

MfG Matthieu
 

bitrot

Benutzer
Mitglied seit
22. Aug 2015
Beiträge
878
Punkte für Reaktionen
0
Punkte
36
Die Startcom Erneuerung ist jedoch ein mal alle drei Jahre, nicht alle drei Monate, und das 'zentral' für alle SAN. Kein Wildcard zwar, aber dennoch eher geringer Aufwand. Die Zertifikate müssen ja auch noch auf den Kisten aktualisiert / eingepflegt werden. selbst wenn man die Erneuerung durch eine Syno automatisch abwickeln lässt.
 

Alphonse_Hoyt

Benutzer
Mitglied seit
19. Feb 2013
Beiträge
94
Punkte für Reaktionen
3
Punkte
14
Bei mir geht das alles automatisch mit Letsencrypt SSL, Nachteil, Alle Geräte müssen demnach nur wieder manuell "bestätigt" werden
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Da würde mich interessieren: Warum? Ich kann es mir nicht ganz erklären. Machen die Apps das auch bei "bezahlten" Zertifikaten, nur eben nicht so oft? Ich finde das ziemlich nervig. Eigentlich geht es bei Zertifikaten ja darum, der Gegenseite ohne größere Prüfung zu vertrauen (entsprechende Diskussionen über den Sinn dieses Verhaltens mal außen vor gelassen).

MfG Matthieu
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Keine Ahnung ob das nach und nach "entfernt" wird oder welcher Zusammenhang da besteht.
In einem anderen Thread war das ja schon mal bei der Cloudstation bemängelt worden!
Da hatte ich mit dem Zertifikatserneuerung am Montag keinerlei Probleme! Also habe ich gerade mal die anderen Apps die ich so nutze getestet.
DS Audio/Video/Photo zeigten eine Warnung mit einem Wechsel des Fingerprint an.
DS Cam/File/Cloud zeigten keine Warnung.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Was mich da halt stört ist, dass z.B. der Fingerprint nicht einfach einsehbar ist in der DSM Systemsteuerung und dadurch die Prüfung unnötig erschwert.
Mitbekommen will man es ja eigentlich schon, oder es müsste ein anderer Mechanismus greifen, so dass trotz geändertem Fingerprint sichergestellt ist, dass das Zertifikat noch das korrekte auf der DS erneuerte ist und sich nicht jemand versucht als Man-in-the-middle in die Kommunikation einzuhängen. Wie das komfortabler gehen könnte als durch den Fingerprintabgleich weiß ich grad auch nicht.

Das sollte eigentlich bei jedem Zertifikat so sein, sonst wäre es nicht nur unschön sondern auch inkonsistent programmiert.

Zumindest bei den DS Apps sollte es aber eigentlich möglich sein z.B. bei Erstkontakt nach einem Wechsel kurz den alten und neuen Fingerprint, kryptographisch authentifiziert, mit der Gegenstelle abzugeleichen und bei Erfolg einfach stillschweigend fort zu fahren. Also sich weder einer potentiellen MITM Attacke auszusetzen, noch am Komfort/Nervfaktor zu viele Abstriche machen zu müssen.
Alles andere würde ja die Sicherheit reduzieren, oder die Leute davon abbringen es zu nutzen.
 

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
106
Punkte für Reaktionen
2
Punkte
24
Seitdem kostenlose SAN-Zertifikate ('Subject Alternative Name', bis zu 10 (!) SAN kostenlos) bei StartSSL eine Gültigkeit von 3 Jahren haben, ist das Gefrickel mit Let's Encrypt für die allermeisten Privatanwender völlig unnötig. Kaufen muss man sich ein Zertifikat auch nicht, zumal ein vergleichbares ziemlich viel Geld kostet.

Ich stand jetzt auch vor der Frage, mit welchem Anbieter ich weiter mache. Da ich hier im Forum von manchen Lets-encrypt-usern lese, dass die automatische Verlängerung nicht funktioniert, war ich etwas unsicher und habe mich nochmal für StartSSL entschieden. Siehe da: Das Zertifikat ist jetzt drei Jahre gültig statt bisher ein Jahr.

OK, das Problem mit Firefox und Chrome existiert, lässt sich aber relativ leicht lösen: Im Zertifikatsmanager einfach dem Ausstellerzertifikat von "StartCom Class 1 DV Server CA" das Vertrauen aussprechen und schon flutscht alles wieder wie vorher. Ich hatte auch keine Meckerei oder Meldungen wegen Zertifikatswechsel - weder bei Thunderbird-CalDAV, CardBook-CardDAV, noch bei DS-Audio, DS-Photo, DS-Note, DS-File oder CloudStationDrive.

Natürlich müssen alle, die über Firefox oder Chrome auf die DS zugreifen, einmal dem o.g. Aussteller das Vertrauen aussprechen, aber dafür ist dann für drei Jahre Ruhe.

Gruß
Nanuk
 

bitrot

Benutzer
Mitglied seit
22. Aug 2015
Beiträge
878
Punkte für Reaktionen
0
Punkte
36
Kann man so natürlich machen. Ich finde es nach wie vor schade, dass für Heimuser die Möglichkeit, über StartSSL kostenlos an ein drei Jahre gültiges Zertifikat mit bis zu 10 SAN zu kommen nicht mehr gegeben ist.

Der Sinn eines Zertifikats ist ja, dass diesem für die verschlüsselte Übertragung 'Vertrauen' entgegen gebracht wird. Wenn man aber jetzt dieses 'Vertrauen' über eine Ausnahme stets selbst 'erzwingen' muss, widerspricht das eigentlich dem Grundgedanken eines solchen Zertifikats. Für den Heimgebrauch kann man, je nach Komplexität des Heimnetzwerks und der damit abgesicherten Server / Dienste, sicherlich damit leben. Wirklich befriedigend ist das aber mMn nicht.

Ich habe mittlerweile, wie gesagt, in den sauren Apfel gebissen und mir ein Wildcard Zertifikat gekauft. Zum Glück gibt es auch bei Zertifikaten mittlerweile Konkurrenzkampf, so dass man nicht mehr gezwungen ist, die Wucherpreise der Vergangenheit zu zahlen.
 

ju^ju

Benutzer
Mitglied seit
12. Aug 2010
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Mein Let's Encrypt Zertifikat hat sich bisher immer automatisch erneuert auf der DS. Jetzt auf einmal nicht mehr (evtl. seit dem Update auf DSM 6.1-15047?). Mit dem Script und offenem Port 80 ging es dann, aber da muss ja irgendwas geändert worden sein. Bisher ging es immer ohne... Jemand ähnliches erlebt?
 

xelarep

Benutzer
Mitglied seit
17. Dez 2008
Beiträge
326
Punkte für Reaktionen
12
Punkte
18
Hallo bitrot

ich hab im Januar StartSSL erst (kostenlos) erneuert: 3 Jahre Laufzeit statt bisher 1 Jahr?! Daneben hab ich letztes Jahr einfach ein weiteres Zertifikat erstellt, in dem ich weitere Subdomains aufgenommen habe. So habe ich mit zwei Zertifikaten momentan 9 Subdomains aufgenommen.

Letztendlich kann man im DSM Zertifikatsmanager ja das jeweilige Zertifikat dem entsprechenden Zweck zuweisen?!

Oder hab ich dich falsch verstanden?

BTW: wildcard fände ich inzwischen auch schick, für wen hast Du dich denn entschieden? Gerne auch per PN.

Alexander

[Nachtrag] Sorry, gerade erst realisiert SAN hat hier ja nen anderen Kontext... Hab's gerade erst verstanden... Meine Frage bleibt aber ;-)
 
Zuletzt bearbeitet:

bitrot

Benutzer
Mitglied seit
22. Aug 2015
Beiträge
878
Punkte für Reaktionen
0
Punkte
36
Der Vorteil der StartSSL SAN Zertifikate ist, dass du mit einem einzigen Zertifikat bis zu 10 Subdomains mit abfrühstücken kannst. Du musst nur das eine Zertifikat bei den zu sichernden Servern / Diensten einbinden, und schon können diese auch unter der jeweiligen Subdomain aufgerufen werden, ohne dass der Browser eine Fehlermeldung ausgibt.

StartSSL hat sich jedoch aus den bereits weiter oben beschriebenen Gründen mittlerweile erledigt. Zu dem kommerziellen Wildcard Zertifikat, das ich seitdem nutze, hatte ich mich hier geäußert.
 

xelarep

Benutzer
Mitglied seit
17. Dez 2008
Beiträge
326
Punkte für Reaktionen
12
Punkte
18
Der Vorteil der StartSSL SAN Zertifikate ist, dass du mit einem einzigen Zertifikat bis zu 10 Subdomains mit abfrühstücken kannst. Du musst nur das eine Zertifikat bei den zu sichernden Servern / Diensten einbinden, und schon können diese auch unter der jeweiligen Subdomain aufgerufen werden, ohne dass der Browser eine Fehlermeldung ausgibt.
Hm, genau das habe ich mit zwei StartSSL Zertifikaten ja auch erreicht?!
StartSSL hat sich jedoch aus den bereits weiter oben beschriebenen Gründen mittlerweile erledigt. Zu dem kommerziellen Wildcard Zertifikat, das ich seitdem nutze, hatte ich mich hier geäußert.
Danke, das sieht interessant aus! Sehe ich mir mal genauer an!
Alexander
 

bl3d2death

Benutzer
Mitglied seit
19. Dez 2015
Beiträge
180
Punkte für Reaktionen
2
Punkte
18
Ich bin verwirrt. Ich hatte vor einem Jahr ein Lets Encrypt Zertifikat erstellt. Das lief lustigerweise etwa ein Jahr ohne das ich was verlängern/erneuern musste (auch die Ports 80+43 sind dauerhaft geschlossen gewesen).
Nun habe ich zum ersten mal (soweit ich mich erinnere) eine Mail bekommen, dass das Zertifikat ausläuft, was nun auch der Fall ist. Aber wieso erneuert es sich nicht wie sonst auch immer? Einstellungen wurden ja nicht geändert!

Wenn ich das über CSR verlängern will, bekomme ich die archive.zip ausgespuckt die ich iwo einreichen soll :(

Ich sehe auch nicht ein die Ports freizugeben, weil es ja bisher auch ohne lief. Wie kann ich also problemlos das abgelaufene Zertifikat erneuern?!
 

Computerhirn

Benutzer
Mitglied seit
27. Mrz 2017
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo bl3d2death,

was du gerade schreibst regt mich irgendwie auf. Entweder du hast genug Ahnung von der Materie und machst dir ein neues Zertifikat beziehungsweise erneuerst das alte, natuerlich beides in Hand-Arbeit, oder du oeffnest einfach den Port 80 (einfach ueber Nacht stehen lassen) eingehend fuer deine DiskStation und laesst diese das Zertifikat automatisch erneuern.

Ciao
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Nabend,

@ju^ju: Kann bestätigen das seit dem Update auf DSM 6.1 das Zertifikat nicht mehr automatisch erneuert wird. Ging auch bei mir bisher immer problemlos von alleine.
Auch ich musste nun manuell eingreifen. Mit dem Script von Goetz aus #20 geht es einwandfrei.

Mördock
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat