[Synology] Supportaussage - Umsetzung Synology SSL-Zertifikatserneuerung

[*kw*]

Hallo,

FYI.

Im Gespräch mit @EDvonSchleck zum Thema "Zertifikatserneuerung und externe Ports" haben wir nochmal über die Sicherheitsbedenken gesprochen und wenn es darum geht, die DS abzuschotten und Synology dennoch die Zertifikate erneuern kann.

Es geht um diesen Punkt (Quelle):

6. Um das Zertifikat Ihrer benutzerdefinierten Domain zu erhalten oder zu erneuern, stellen Sie sicher, dass Port 80 zu Ihrem NAS weitergeleitet wurde. Diese Einschränkung gilt nicht für Synology DDNS.

Da ich eh ein passendes Ticket bei Synology offen hatte, habe ich diesbezüglich ganz direkt nachgefragt. Antwort:

Für den Synology DDNS wird DNS-01 als Challenge Methode verwendet. Für alle anderen Provider wird HTTP verwendet.

Die Methoden sind hier dokumentiert

https://letsencrypt.org/de/docs/challenge-types/


Damit man DNS-01 automatisieren kann, benötigt man eine entsprechende API beim Domainprovider.
Synology stellt so eine API für Synology NAS bereit.

Andere Domain Provider verwenden entweder nicht die selbe API oder stellen keine API bereit.

Deshalb kann man DNS-01 nur mit Syno DDNS verwenden und für DNS-01 ist keine Portweiterleitung notwendig.

PS: [Spekulation]die Bedenken hier, keiner weiß, was noch alles mit übermittelt werden könnte.[/Spekulation]

Grüße
Oliver

 

[Fusion]

Sie machen es sich halt einfach bzw. Wollen sich unnötige Arbeit vom Hals halten. Kann man nachvollziehen.
Solange das nicht auf die Verkäufe durch schlägt ändert sich vermutlich nix dran.

Sie müssten halt für alle via acme.sh oder ähnlich unterstützten Hoster API die GUI dazu bauen. Dann könnten sie dort auch überall Wildcard und Zertifikate ohne Portfreigabe unterstützen.

Es würde ja auch schon reichen (weil viel weniger Aufwand auf SYNO Seite), wenn sie den Syno DNS als Challenge/Domain Alias benutzen würden. Der Benutzer müsste dann nur bei seiner eigenen Domain ein cname Eintrag auf synology DNS setzen (_acme-challenge.example.com auf alias.xyz.synology.me) . Dort wird dann der auto TXT record und die Validierung vorgenommen und das Zertifikat trotzdem auf die vom Benutzer gewählte Domain ausgestellt, auch ohne Portfreigabe, und ohne dass der Hoster direkt von acme.sh etc. unterstützt werden muss.
[habe ich bei mir umgesetzt, allerdings mit acme.sh und Hurricane Electric für den Alias. Da werden dann auch gleich noch Zertifikate für andere Domains geholt und direkt auf zwei andere externe DS weiter deployed wo diese Domains verwendet werden. Mit etwas Aufwand sogar über einen 2FA abgesichertes admin Konto auf der Ziel DS welches nur für diesen Zweck angelegt wurde und welcher sich nicht am DSM selbst anmelden kann]

Je mehr ich drüber nachdenke wäre das super elegant.

 

[EDvonSchleck]

Die Aussage von Synology mag zwar richtig sein trotzdem sagt es nicht über Ihr verwendetes System aus. Genau werden wir es wohl nie erfahren. Wenn es wie eine normale API arbeitet, hätte man das auch für andere Anbieter freigeben können. Ich finde es hat eine Beigeschmack.

Mir soll es egal sein, denn mit acme.sh funktioniert alles ohne Probleme, Anbieter gibt es genug, und sollte für jeden etwas dabei sein und die größten werden eh unterstützt. Das ganze muss auch nicht teuer sein - mit den Preis einer Schachtel Zigaretten ist man für 1 Jahr dabei.

Man muss also selbst die Priorität setzen. Nur weil ein Service nichts kostet heißt es ja nicht das ohne Gegenleistung ist! Von Quickconnect einmal ganz zu schweigen. Nicht alles ist gut bei Synology, für mich nur die DSM-Software sowie Systemapps.