Lets Encrypt oder Startl SSL

[Don-DCH]

Guten Mittag,

ich habe ein Synology NAS, welches ich nach langer Zeit wieder mit einem Zertifikat ausstatten möchte.
Leider weiß ich nicht mehr genau, wie das mit Start SSL von Startcom funktioniert. Nun ist bei der neusten Version von meinem NAS auch die Möglichkeit automatisch ein Zertifikat von Lets Encrypt zu beziehen.

Ich habe ein bisschen gegoogelt, da ich aber nicht wirklich viel verstehe von Zertifikaten und verschlüsselung wollte ich euch einmal fragen, ob ich lieber aufwendig nochmal schauen sollte, wie man ein Startcom Start SSL zertifikat aufruft, oder ob ich ein Lety Enrcypt Zertifikat bedenkenlos einsetzen kann?

Synology selbst schreibt, dass es unsicher sei, warum bieten Sie es dann an ? Was genau ist daran unsicher? Verstehe das leider nicht so wirklich.

Vielen Dank schonmal für eure Hilfe!

 

[racer320kmh]

Insoweit unsicher, dass du das Let's Encrypt Zertifikat alle 90 Tage manuell erneuern musst.
Das funktioniert nicht automatisch.
Außerdem werden in manchen Browsern mit diesem Zertifikat verschlüsselte Verbindungen noch als unsicher angezeigt, da die Browser noch nicht das Root-Zertifikat von Let's Encrypt kennen.

 

[deineMudda]

klar kannst du die bedenkenlos einsetzen. Synology warnt wohl deshalb davor, weil sie entweder StartSSL bzw. Lets Encrypt nicht vertrauen oder der Verifizierung nicht vertrauen. Vermutlich ist letzteres der Fall. Wenn du ein Zertifikat ausstellen lässt, muss jemand überprüfen, ob du auch tatsächlich der bist, für den du das Zertifikat ausstellen lässt. Bei den genannten Anbietern dürfte das wahrscheinlich nur per E-Mail oder so funktionieren, da die Dienste kostenlos sind. Andere Nutzer werden deinem Zertifikat evtl. nicht vertrauen, weil die Methode um dich zu identifizieren nicht optimal ist. Aber da nur du selbst auf deine eigene NAS willst ist das meiner Meinung nach egal. Evtl. bekommst du vom Browser beim zugriff auf die NAS ne Warnung, dass das Zertifikat nicht vertrauenswürdig ist. Die Verschlüsselung ist trotzdem sicher.

 

[Trust.No.1]

Habe meine NASsen jetzt auch mit Let's Encrypt ausgestattet, da die Einrichtung in Zusammenhang mit einem Synology-Gerät einfacher nicht mehr geht. Bis ich mich jedesmal durch das undurchsichtige Prozedere bei StartSSL durchgewurstelt habe, habe ich in der Zwischenzewit gleich drei NAS-Maschinen mit Let's Encrypt versehen.

Ein interessantes Interview zum Thema Let's Encrypt gabs letztens bei heise online.

https://www.youtube.com/watch?v=GsLvwv0jNKY

 

[Don-DCH]

Danke euch für die schnellen und ausführlichen Antworten!

Schaue gerade das Video

Muss ich das bei meinem NAS auch alle 90 Tage selbst erneuern oder macht das NAS das automatisch?

Aber wenn das auch sicher ist, werde ich dies verwenden.

Vielen Dank!

EDIT: Gerade gesehen, dass man Port 80 freigeben muss und 443, dass ist irgendwie unschön, dass man die Standrardports nehmen muss, dass macht es unsicher.

 

[John Reese]

Musst du nicht, du kannst auch andere Verifizierungsmethoden auswählen, dann kannst du bspw. manuell durch Generierung diverser Zertifikate und manueller Übermittlung an Let's Encrypt ein Zertifikat erhalten.

Mehr dazu hier: https://letsencrypt.readthedocs.org/en/latest/using.html#plugins

EDIT:
Wenn du Cronjobs auf deinem NAS zur Verfügung hast, kannst du das sicher auch automatisieren

 

[Don-DCH]

Hmm Im NAS selbst nicht, mit Linux ist mir das auch alles zu komliziert. Werde wohl doch mich an Starcom probieren....
Schade, dass man so viele ports freigeben muss, finde ich ziemlich unsicher und schlecht gelöst.

 

[John Reese]

Na, musst du ja eben nicht - hast du gelesen, was ich geschrieben habe?

Und du musst auch mit StartSSL dein Zertifikat 1x im Jahr erneuern.

 

[Don-DCH]

Ja, bei Start SSL bekomme ich es aber nicht mehr wirklich hin
Ist zu lange her und die Videos helfen mir leider auch nicht.

Lets Encrapt hat geklappt, habe testweise kurz port 80 und 443 weitergeleitet und in dem NAS freigegeben. Aber gleich wieder gelöscht, dass dumme ist, dass es auch nicht verlängern kann.
Aber die Firewall auf den Ports zu öffnen ist sehr riskant oder?


Und Lets Enrcypt anders abrufen über Linux ist alles zu kompliziert. Akzeptiert wird das Zertifikat in meinem Browser (Firefox) auch nicht, da brauch ich sowas auch garnicht. Kann ich ja gleich das selbstsignierte von Synology drinne lassen.

 

[John Reese]

Du kannst auch folgenden Webclient benutzen:

https://gethttpsforfree.com

Aber schön, dass du direkt sagst: "Linux - NE! Das ist zu kompliziert".

Wie, das Zertifikat wird nicht akzeptiert? In aktuellen Versionen sollte es das, soll heißen: Du hast vermutlich etwas falsch gemacht.

 

[Don-DCH]

Hmm, da brauche ich ja auch Linux für die Befehle oder?

Okey, vielleicht hört sich das so an, dass ich es direkt verweigere. Allerdings habe ich mich schon öfters mit Linux auseinandergesetzt und was soll ich sagen, es ist nichts für mich.

Ich habe nur ganz wenige Linux kentnisse und realisiere Rasperry Pi Projekte, dies allerdings immer nach Anleitung.
Windows ist mein Favorit.

Ich hatte nur bemängelt, dass alle Wege ziemlich kompliziert sind. Bei Startcom weiß ich auch nicht mehr wie das ging, bzw. ich muss das Zertifikat nur verlängern und die entsprechenden Daten herunterladen, leider blicke ich auch auf der neuen Seite nicht mehr durch. Lets Encrypt ist auch wirklich einfach, aber ich bin mir nicht sicher ob die Portweiterleitungen und die offene Firewall am NAS so gut sind.... Verstehe einfach nicht, dass man so viele Ports öffnen muss. Hätte dies lieder sicherer. Und das eine Zertifikatswarnung kommt ist auch komisch, dabei ist Mozilla ja beteiligt an Lets Encrypt, wenn diese Warnung kommt brauche ich sowas auch garnicht einzusetzen.

Die von dir Gepostete Website erscheint mir auch als unseriös sorry.

 

[John Reese]

Und erneut frage ich: Hast du meinen Beitrag #6 gelesen?

Bist du der englischen Sprache mächtig?

So wie das die Oberfläche deines NAS anbietet, musst du wohl Ports öffnen - aber wenn du letsencrypt über eine Konsole benutzt, dann nicht.

Und was den Webclient angeht: er ist aufwendiger, und auch dort musst du einen Webserver für die Domain erreichbar machen (= Ports öffnen).

Üblicherweise musst du btw. eh nur Port 80 öffnen (ist ja auch klar warum und sinnvoll, schließlich holst du dir ein Zertifikat für einen Webdienst / eine Webseite... da hat man Port 80 bzw. 443 eh schon "geforwarded").

Du kannst openSSL auch unter Windows benutzen und dann über die Windows-Konsole die Befehle eingeben, die dir auf https://gethttpsforfree.com/ genannt werden.

 

[Don-DCH]

Soo, hatte einen denkfehler drinne, man kommt mit port 80 oder port 443 garnicht auf die dsm oberfläche oder photo station...
Dadurch kann ich den Port für Lets encrypt offen lassen.

Ich bevorzuge Deutsch


Also werde ich Lety Encrtypt benutzen, denn die sichehreit ist durch das verstellen meines Verwaltungsports gegeben.

Danke dir für deine ausführliche Unterstützung! Das ist sehr gut gemeint, leider hat mir das nicht so zugesagt und cih wähle den einfachsten Weg und hoffe, dass mir durch die Weiterleitung von Port 80 oder 443 keine Nachteile entsehen werden.

Einen schönen Abend