DSM 6.x und darunter Lets Encrypt TLS-SNI-01

[mördock]

Moin,

heute Nacht habe ich eine Mail bekommen, welche ich zwar bedingt verstehe aber ich habe keine Ahnung an welchen Stellschrauben ich nun schon wieder drehen muss damit mein Zertifikat weiterhin funktioniert.
Wer kann mir bitte helfen?

Hello,

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t...e-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff

 

[hrshrs]

Guten Tag

ich haben genau die gleiche Problematik. Setze let's encrypt ein und muss jetzt das Zertifiakt erneuern.
Besten Dank für die Hilfe

 

[Frogman]

Hier ist Synology gefragt - bereits seit Januar 2018 ist das Protokoll ACME TLS-SNI-01 gefährdet und angekündigt, dass es ausläuft. Synology hat trotz mehrfachen Nachfragens hier keine Anpassung ihres Clients an die alternativ angebotenen Protokolle ausgerollt..

 

[mördock]

Das bedeutet?

- wir müssen Tickets bei Synology aufmachen?
- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?
- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?

#Mördock#

 

[egal8888]

Das bedeutet?
- wir müssen Tickets bei Synology aufmachen?

Ist vielleicht das Beste.
Denke, das werde ich dann gleich heute machen.

- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?

Du kannst noch im DSM das Zertifikat bis zum 13.02. manuell verlängern.
Dann hast Du erstmal wieder 90 Tage, bis das Zertifikat ausläuft.
Die nächste Verlängerung funktioniert dann aber nicht mehr, bis Synology das gefixt hat.

- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?

Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.

 

[egal8888]

Ich habe aber das hier noch gefunden:
https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide

Kann vielleicht jemand mit mehr Ahnung sagen, ob das funktionieren würde - vor allem mit DynDNS?

 

[Jongleur]

Ruhig Blut, die Zertifikate werden nicht am 13. Februar ungültig, sie können lediglich nicht mehr automatisch oder manuell erneuert werden. Ich persönlich werde am 12. Februar nochmal manuell erneuern und dann hoffen dass es bis zum Ende der Gültigkeite dieses Zertifikats ein Update gibt für das DSM. Ein Ticket sollte bei Synology aber eröffnet werden zur Sicherheit. Ich hoffe doch, dass die Entwickler das aufm Schirm haben.

 

[Jongleur]

@egal8888
Scheinbar nutzt diese Methode auch den outdated Algorithmus. Daher wirst du damit nach dem 13.02 vor den selben Poller laufen.

 

[mördock]

Ist nur doof wenn man sein Zertifikat erst vor wenigen Tagen aktualisiert hat (so wie ich) , denn dann lässt es sich am 12. Februar noch nicht erneuern, oder bin ich da auf dem Holzweg? Habe in Erinnerung das man erst ab einem gewissen Zeitpunkt vor Ablauf des Zertifikats dieses erneuern kann.

 

[Jongleur]

Doch, das sollte klappen. Man darf es nur nicht zu oft hintereinander machen. Ich wette aber, dass Synology da vorher ein Update ausrollt.

 

[mördock]

Top die Wette gilt.

 

[ThoSt]

Moin,

In dem Link zu Git steht aber auch das Synology "HTTP-01" nutzt und deswegen port 80 und 443 geöffnet sein müssen.
Sollte das der Fall sein, dann wäre diese Methode noch unterstützt und nach dem 13.02. funktioniert alles weiter: https://community.letsencrypt.org/t...e-for-all-tls-sni-01-validation-support/74209

 

[kbvqqwwee]

Wunderbar, ich hab mich einerzeit mit dem Zertifikat schon schwer getan, seit dem läuft alles... Nutze den Fernzugriff häufig und war sehr froh das es schnell und stabil funktionierte. Was mach ich nun, wieder zurück zum lahmen quickconnect?

 

[MikeZulu]

Dieses Thema wird auch im Forum von Lets Encrypt rege diskutiert, da nicht nur Synology-Besitzer betroffen sind.

Link zum Forum-Eintrag

 

[Fusion]

Synology benutzt http-01 (und unterstützt auch dns-01).
tls-sni-01 kam mit DSM 6.2 hinzu und wird benutzt, wenn verfügbar.
Daher vermute ich stark, dass wenn die LE Server tls-sni-01 in Zukunft wieder ablehnen/deaktivieren, die DS einfach wieder auf http-01 als fallback geht, wie seither auch.

 

[taylor-77]

Hallo zusammen,

hier mal die Antwort vom Synology Support auf mein Ticket:

Thank you for contacting Synology support.
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.

If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.

If there is any problem, please feel free to contact us.

Yours Truly,
Technical Support

 

[tproko]

Das sind ja mal klare gute Ansagen. Auch im Hinblick auf die Ports die wirklich benötigt werden.
Nämlich nur mehr 80 (früher war da wohl mehr notwendig, wie zB. 443 und Webstation) aber gut, dass das mal klar kommuniziert wird.

 

[Jongleur]

Also war die Warnung von lets encrypt einfach deplaziert und wir haben gar kein Thema!?

 

[NSFH]

Diese Info von Synology wurde schon früher mal kommuniziert, also nicht aufregen wegen nichts.
Die Info wegen der Zertifikatserneuerung kamm ja auch schlieslich nicht von Synology sondern von LE. Und ob man es glaubt oder nicht, es gibt noch andere Server im Universum welche ebenfalls LE verwenden.

 

[Heaven1976]

Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.

Daher holt man sich lieber eine richtige domain mit dyndns unterstützung, weil da kann man dann zu not ein billig zertifikat nehmen via Domain Validation.