SSL-Zertifikat einer "vertrauenswürdigen Zertifizierungsstelle"

[TheGardner]

Nein, sollte so nicht gehen! Soweit ich weiss MUSS auch Port 80 immer offen sein, wenn eine Weiterleitung zu SSL greifen soll! Weil die Weiterleitung an sich nur Sinn macht, wenn (versehendlich oder unwissend) erstmal eine Anfrage auf Port 80 geschied, so dass der Apache/Nginx dann sagen kann: "Pass mal auf - kein Port 80, sondern ich leite Dich mal auf eine verschlüsselte Verbindung weiter!"

 

[stefaktiv]

Da komm ich jetzt grad nicht mehr mit. Also die Fritzbox ist via DynDNS mit der Domain verbunden. Wenn ein Zugriff via https / Port 442 erfolgt, dann leitet die Fritzbox direkt weiter an die DS und führt dort zum Login. Bei unverschlüsselten Zugriffen über Port 80 kommt man ja zur Webstation und sieht dort nur die Platzhalterseite. Der Zugriff von außerhalb hat eigentlich ohne Probleme auch ohne offenen Port 80 und Webstation funktioniert - nur eben nicht über die Firewall von McAfee und dort auch nur aufgrund des Hinweises, dass die aufgerufene Seite noch unbekannt und unklassifiziert ist.

 

[frankyst72]

Du musst Port 80 und 443 auf machen und auf die DS weiter leiten, wenn Du willst, dass die DS das Let's Encrypt-Zertifikat alle 3 Monate von selbst aktualisiert (das hat nämlich nur eine Gültigkeitsdauer von 3 Monaten). (dazwischen kann Port 80 zu sein, aber wer denkt da so regelmäßig dran?).

 

[stefaktiv]

Kann man das Zertifikat auch erneuern, wenn es nach 3 Monaten abgelaufen ist? Dann würde man es ja automatisch spätestens dann merken, wenn das Zertifikat als ungültig angezeigt wird. Eine regelmäßige Aufgabe kann man in der DS nicht einstellen, oder (also "Öffne alle 3 Monate Port 80, erneuere Let's Encrypt - schließe Port 80").