Toggle sidebar

DSM 6.x und darunter Lets Encrypt TLS-SNI-01

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
mördock

mördock

Benutzer
Registriert
04. Jan. 2012
Beiträge
806
Reaktionspunkte
17
Punkte
44
Moin,

heute Nacht habe ich eine Mail bekommen, welche ich zwar bedingt verstehe aber ich habe keine Ahnung an welchen Stellschrauben ich nun schon wieder drehen muss damit mein Zertifikat weiterhin funktioniert.
Wer kann mir bitte helfen?

Hello,

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t...e-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff
 
Guten Tag

ich haben genau die gleiche Problematik. Setze let's encrypt ein und muss jetzt das Zertifiakt erneuern.
Besten Dank für die Hilfe
 
Hier ist Synology gefragt - bereits seit Januar 2018 ist das Protokoll ACME TLS-SNI-01 gefährdet und angekündigt, dass es ausläuft. Synology hat trotz mehrfachen Nachfragens hier keine Anpassung ihres Clients an die alternativ angebotenen Protokolle ausgerollt..
 
Das bedeutet?

- wir müssen Tickets bei Synology aufmachen?
- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?
- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?

#Mördock#
 
mördock schrieb:
Das bedeutet?
- wir müssen Tickets bei Synology aufmachen?
Zum Vergrößern anklicken....

Ist vielleicht das Beste.
Denke, das werde ich dann gleich heute machen.

mördock schrieb:
- unsere Zertifikate funktionieren ab dem 13. Februar nicht mehr?
Zum Vergrößern anklicken....

Du kannst noch im DSM das Zertifikat bis zum 13.02. manuell verlängern.
Dann hast Du erstmal wieder 90 Tage, bis das Zertifikat ausläuft.
Die nächste Verlängerung funktioniert dann aber nicht mehr, bis Synology das gefixt hat.

mördock schrieb:
- wir dürfen uns ein Zertifikat bei einem anderen Anbieter kaufen?
Zum Vergrößern anklicken....

Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.
 
Ruhig Blut, die Zertifikate werden nicht am 13. Februar ungültig, sie können lediglich nicht mehr automatisch oder manuell erneuert werden. Ich persönlich werde am 12. Februar nochmal manuell erneuern und dann hoffen dass es bis zum Ende der Gültigkeite dieses Zertifikats ein Update gibt für das DSM. Ein Ticket sollte bei Synology aber eröffnet werden zur Sicherheit. Ich hoffe doch, dass die Entwickler das aufm Schirm haben. :)
 
@egal8888
Scheinbar nutzt diese Methode auch den outdated Algorithmus. Daher wirst du damit nach dem 13.02 vor den selben Poller laufen.
 
Zuletzt bearbeitet:
Ist nur doof wenn man sein Zertifikat erst vor wenigen Tagen aktualisiert hat (so wie ich) , denn dann lässt es sich am 12. Februar noch nicht erneuern, oder bin ich da auf dem Holzweg? Habe in Erinnerung das man erst ab einem gewissen Zeitpunkt vor Ablauf des Zertifikats dieses erneuern kann.
 
Doch, das sollte klappen. Man darf es nur nicht zu oft hintereinander machen. Ich wette aber, dass Synology da vorher ein Update ausrollt.
 
Top die Wette gilt.
 
Wunderbar, ich hab mich einerzeit mit dem Zertifikat schon schwer getan, seit dem läuft alles... Nutze den Fernzugriff häufig und war sehr froh das es schnell und stabil funktionierte. Was mach ich nun, wieder zurück zum lahmen quickconnect?
 
Dieses Thema wird auch im Forum von Lets Encrypt rege diskutiert, da nicht nur Synology-Besitzer betroffen sind.

Link zum Forum-Eintrag
 
Synology benutzt http-01 (und unterstützt auch dns-01).
tls-sni-01 kam mit DSM 6.2 hinzu und wird benutzt, wenn verfügbar.
Daher vermute ich stark, dass wenn die LE Server tls-sni-01 in Zukunft wieder ablehnen/deaktivieren, die DS einfach wieder auf http-01 als fallback geht, wie seither auch.
 
Hallo zusammen,

hier mal die Antwort vom Synology Support auf mein Ticket:

Thank you for contacting Synology support.
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.

If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.

If there is any problem, please feel free to contact us.

Yours Truly,
Technical Support
Zum Vergrößern anklicken....
 
Das sind ja mal klare gute Ansagen. Auch im Hinblick auf die Ports die wirklich benötigt werden.
Nämlich nur mehr 80 (früher war da wohl mehr notwendig, wie zB. 443 und Webstation) aber gut, dass das mal klar kommuniziert wird.
 
Diese Info von Synology wurde schon früher mal kommuniziert, also nicht aufregen wegen nichts.
Die Info wegen der Zertifikatserneuerung kamm ja auch schlieslich nicht von Synology sondern von LE. Und ob man es glaubt oder nicht, es gibt noch andere Server im Universum welche ebenfalls LE verwenden.
 
egal8888 schrieb:
Man kann keine Zertifikate für DynDNS-Domains wie myds.me kaufen.
Für Anschlüsse mit Dynamischer IP bleibt dann mMn nur das selbstsignierte Zertifikat.
Zum Vergrößern anklicken....

Daher holt man sich lieber eine richtige domain mit dyndns unterstützung, weil da kann man dann zu not ein billig zertifikat nehmen via Domain Validation.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten