HTTPS Zertifikat (letsencrypt) nur 3 Monate gültig

[Michi777]

Welche Warnung? Kannst du die bitte mal im Wortlaut zitieren oder als Screenshot hier posten?

 

[DeusoftheWired]

Ooookay, komplett falsches Problem. Aber nach einer Forumsseite sind wir jetzt zum Glück zum eigentlich Problem vorgedrungen.

Das grundlegende Problem ist die Erneuerung eines bestehenden Zertifikats via TLS-SNI-01, nicht aber das Anlegen eines völlig neuen Zertifikats: https://community.letsencrypt.org/t/tls-sni-01-validation-is-reaching-end-of-life/85034

Jemand hat beim Synology-Support gefragt und Antwort erhalten. Seitens Synology wird es keine Änderung geben, da die Erneuerung laut Synology auch so erfolgreich durchgeführt werden kann, solange Port 80 offen ist und zur DiskStation weitergeleitet wird:

https://community.synology.com/forum/16/post/122673?page=1

Thank you for contacting Synology support.

The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.
If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.
Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.
If there is any problem, please feel free to contact us.

Yours Truly,

Technical Support

Nicht ganz sicher bin ich mir aber bei der Erwähnung des „Synology DDNS“, nämlich ob damit gemeint ist, daß die Erneuerung ausschließlich bei der Nutzung des Synology-eigenen DDNS funktioniert oder auch bei der Nutzung eines anderen DDNS-Anbieters. Da werde ich in den nächsten Wochen mal die Augen offenhalten, was die DiskStation so für Meldungen ausspuckt.

Werde heute abend etwas mehr in Ruhe zu Hause zur Materie lesen und dann ggf. editieren. Im deutschen Syno-Forum gibt’s auch einen vierseitigen Thread dazu: https://www.synology-forum.de/showthread.html?99716-Lets-Encrypt-TLS-SNI-01

 

[Michi777]

Danke, also ich habe die Ports freigeschalten, nutze aber exteren öffentlich IP (Fortinet Firewall) zu interner IP (Synology) in meinem Fall.
Geht die automatische Erneuerung dennoch?
...wenn nicht wie kann ich mir am Besten ein zweijähriges Zertifikat ausstellen lassen und einspielen?

 

[DeusoftheWired]

Länger gültige Zertifikate bekommst du nur bei kommerziellen Anbietern. Warum Let’s Encrypt 90 Tage macht, hat konkretor schon auf Seite 1 verlinkt: https://letsencrypt.org/2015/11/09/why-90-days.html

Nutzt du denn Synologys DDNS-Dienst synology.me?

 

[BalthasarBux]

Ich halte die Idee, Port 80 standardmäßig nach außen zu öffnen für bedenklich. Die 4-5 mal pro Jahr sollte man es sich geben, den Port manuell zu öffnen, per SSH die Erneuerung anschmeißen und die Portweiterleitung zu deaktivieren. Dann weiß man auch, dass das Zertifikat geändert wurde und muss sich nicht wundern, warum gewisse Apps warnen, dass sich das Zertifikat geändert hätte.

Das ist übrigens der SSH-Befehl:

sudo syno-letsencrypt renew-all -v

 

[Autokiller677]

Port 80 und 443 sind normalerweise eh schon offen, um von außen Zugreifen zu können...

 

[BalthasarBux]

Das halte ich (ohne weitere restriktive Schutzmaßnahmen) für fahrlässig.