Zertifikat lässt sich nicht erneuern

[geom]

Hallo, hatte ein vergleichbares Phänomen, dass ich ein neues Zertifikat von Let's Encrypt erstellt hatte, dieses als Standard definiert hatte und dennoch immer ein älteres Zertifikat verwendet wurde.
Erst als ich unter Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren das neue Zertifikat für alle Dienste eingetragen hatte wurde es auch verwendet und ich konnte problemlos über https mit dem neuen Zertifikat tzugreifen.

 

[TeXniXo]

Das ist die normale Vorgehensweise.

 

[IngoF]

Ich habe drei letsEncrypt Zertifikate. Eins ist das Standart Zertifikat (ohne www). das Zweite ist für www. Nachdem in der Nacht die Zertifikate erneuert wurden bekomme ich für www das Standardzertifikat und eigentlich nicht das zweite Zertifikat. Unter Konfiguration ist auch das richtige Zertifikate ausgewählt.

Glaube es hat geholfen einmal das Synology Zertifkat auszuwählen und dann wieder das richtige" Zertifikat auszuwählen. Kann das aber jetzt nicht mehr nachvollziehen weil in Chrome dazwischen kein Cache gelöscht und auch das Fenster nicht geschlossen hatte.

Hat jemand eine Erklärung dafür?
Im ersten Tab in Chrome auf der Diskstation angemeldet war und im zweiten TAB die www-Subdomain geöffnet habe?
Kann das daran gelegen haben?

 

[Holger1974]

Fehler gefunden: Anstatt example.com www.example.com eingeben, dann klappt's.

 

[Fusion]

"Standardzertifikat' ist jenes welches als Standard für NEU hinzukommende Dienste gesetzt wird.
Das wirkliche Standardzertifikat welches benutzt wird für alle Dienste für die nicht explizit ein eigenes Zertifikat gesetzt ist ist jenes für den Dienst 'Systemvoreinstellung' den du in der Liste unter 'Konfiguration' findest.

 

[figo]

Hallo ,

sobald es geht , versucht es mal hiermit :

Geht bei mir 1a

 

[NSFH]

Automatisch ist in diesem Fall absolut NICHT empfehlenswert, da dafür Port 80 in der Firewall dauernd auf sein muss.
Wer begeht diesen Anfängerfehler noch in der heutigen Zeit?

 

[ottosykora]

verstehe nicht ganz, wie soll dann der Update gemacht werden? Und warum soll 80 nicht auf sein?

 

[Benares]

Und warum soll 80 nicht auf sein?

Verstehe ich auch nicht. Auch alle kommerziellen Anbieter haben meist Port 80 offen und leiten dann http auf https um. Die können den Kunden ja nicht zumuten, vorher zu wissen, ob ihr Server http oder https spricht.
Im Privatbereich verstehe ich Befürchtung, falls die Umleitung nicht richtig konfiguriert ist. Dann lässt man wohl besser Port 80 zu.

 

[Monacum]

verstehe nicht ganz, wie soll dann der Update gemacht werden? Und warum soll 80 nicht auf sein?

Deswegen hat er ja gesagt, man soll ihn als Privatperson nicht dauernd offen haben. Ich mache das auch so, dass ich den Port nur für die Erneuerung des Zertifikats kurz öffne und danach sofort wieder schließe, weil das nun mal einer der Ports ist, die bei Angriffen von außen standardmäßig ausprobiert werden, eben weil ihn jeder kennt.

Auch alle kommerziellen Anbieter haben meist Port 80 offen und leiten dann http auf https um.

Das mag sein, die haben aber wahrscheinlich auch andere Sicherheitsvorkehrungen.

 

[ottosykora]

, weil das nun mal einer der Ports ist, die bei Angriffen von außen standardmäßig ausprobiert werden, eben weil ihn jeder kennt.

und? das ist doch ganz normal. Und warum soll Port 80 nicht ausprobiert werden? Und wozu ausprobieren? Das ist doch der normale Port für Webserver.
Bei meinem Webhoster kann ich auch Anfragen auf Port 80 beantworten lassen oder es intern auf 443 umleiten lassen, deswegen ist aber 80 grundsätzlich immer noch da

Also irgendwie kommt mir das merkwürdig vor

 

[Monacum]

Ist doch nur eine Empfehlung, du kannst das machen wie du willst. Ich persönlich denke halt, dass professionelle Anbieter im Netz deutlich mehr Energie und Ressourcen in die Absicherung ihrer IT stecken als ich das alleine zu Hause hinbekomme und deswegen mache ich nur die Ports auf, die ich brauche und das auch nur für die Zeit, in der ich sie brauche.

 

[NSFH]

Das 80 ein ganz normaler Port für Webanwendungen ist ist Schnee von gestern, falls das immer noch nicht durchgedrungen ist.
Der Standard ist HTTPS mit Port 443 und das aus gutem Grund. Auf der Syno den Port aus Bequemlichkeit dauerhaft offen zu halten ist grob fahrlässig aber macht nur, für einen File Server eine "geniale" Einstellung.

 

[Benares]

Das 80 ein ganz normaler Port für Webanwendungen ist ist Schnee von gestern

Probier mal ein "telnet <BeliebigerSeriöserAnbieter> 80" aus Warum das meist geht, hatte ich versucht in #29 zu beschreiben.

 

[NSFH]

BeliebigerSeriöserAnbieter ist keine Syno bei einem Privatanwender der nur mal so 80 offen lässt weil es bequem ist

 

[figo]

Hallo ,
über die Verlängerung bzw. die automatische Verlängerung , gibts auch hier im Forum unterschiedliche Meinungen .

 

[ottosykora]

nur mal so 80 offen lässt weil es bequem ist

hat nichts mit Bequemlichkeit zu tun, sondern mit Funktionalität
intern kann man dann auf 443 umleiten, aber man kann nicht erwarten, dass alle einen Webserver immer mit https://.... ansprechen
Was an einem Port 80 so böse sein soll kann ich immer noch nicht ganz verstehen.
Auch das Forum hier hört auf 80

 

[Ulfhednir]

Wo wir bei der Ausgangssituation wären, warum möglicherweise Lets Encrypt nicht erneuert werden kann. Insbesondere in dem Zusammenhang von einem Anfängerfehler zu sprechen, finde ich etwas anmaßend. siehe auch:
https://letsencrypt.org/de/docs/allow-port-80/

 

[Monacum]

Was an einem Port 80 so böse sein soll kann ich immer noch nicht ganz verstehen.

Wenn jemand in dein System eindringen will, scannt er die Ports. Wenn er nicht weiß, wo er anfangen soll, nimmt er die bekannten wie 80 und 443 oder auch 22 für ssh. Wenn man die ändert, muss der potentielle Angreifer erstmal rumprobieren, was Zeit kostet. Das alleine verhindert keinen Angriff und wenn die Sicherung dahinter (Passwort, admin-Konto deaktiviert etc.) stark ist, mag es unnötig sein, es ist aber nochmal eine zusätzliche Absicherung. Wenn der Einbrecher nichtmal die Tür sehen kann, kann er nicht mal versuchen, einzubrechen.

Wo wir bei der Ausgangssituation wären, warum möglicherweise Lets Encrypt nicht erneuert werden kann. Insbesondere in dem Zusammenhang von einem Anfängerfehler zu sprechen, finde ich etwas anmaßend. siehe auch:
https://letsencrypt.org/de/docs/allow-port-80/

Ja, da gehen die Meinungen im Netz auseinander. Fakt ist aber auch, dass der Artikel schon drei Jahre alt ist.

 

[NSFH]

hat nichts mit Bequemlichkeit zu tun, sondern mit Funktionalität
i.....

ist reine Bequemlichkeit wenn man es wie in diesem Fall nur 1x alle drei Monate braucht!
Im übrigen finde ich es unverantwortlich unbedarften Nutzern zu suggerieren Port 80 aufzulassen wäre unkritisch. Der hinterletze aktuelle Internetbrowser markiert HTTP Seiten sofort als unsicher nur bei Synologynutzern ignoriert man das einfach.
Was hier für hahnebüchende Fehler in der Absicherung begangen werden ist oft genug zu lesen und jetzt propagiert man auch noch unverschlüsselte Ports.
Da hätte ich von alteingessessenen Forumsmitgliedern anderes Verantwortungsbewusstsein und auch mehr Wissen erwartet.
Und dann ist der Satz "aber man kann nicht erwarten, dass alle einen Webserver immer mit https://.... ansprechen...." so daneben wie er nur falsch sein kann. Standard heute ist HTTPS ob das gefällt oder nicht.
Aber sei es drum, jeder ist seines Glückes Schmied.....und ich klinke mich aus diesem Blödsinn hier aus