Zertifikat lässt sich nicht erneuern

geom

Benutzer
Mitglied seit
20. Aug 2016
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo, hatte ein vergleichbares Phänomen, dass ich ein neues Zertifikat von Let's Encrypt erstellt hatte, dieses als Standard definiert hatte und dennoch immer ein älteres Zertifikat verwendet wurde.
Erst als ich unter Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren das neue Zertifikat für alle Dienste eingetragen hatte wurde es auch verwendet und ich konnte problemlos über https mit dem neuen Zertifikat tzugreifen.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Das ist die normale Vorgehensweise.
 

IngoF

Benutzer
Mitglied seit
17. Okt 2011
Beiträge
253
Punkte für Reaktionen
14
Punkte
18
Ich habe drei letsEncrypt Zertifikate. Eins ist das Standart Zertifikat (ohne www). das Zweite ist für www. Nachdem in der Nacht die Zertifikate erneuert wurden bekomme ich für www das Standardzertifikat und eigentlich nicht das zweite Zertifikat. Unter Konfiguration ist auch das richtige Zertifikate ausgewählt.

Glaube es hat geholfen einmal das Synology Zertifkat auszuwählen und dann wieder das richtige" Zertifikat auszuwählen. Kann das aber jetzt nicht mehr nachvollziehen weil in Chrome dazwischen kein Cache gelöscht und auch das Fenster nicht geschlossen hatte.

Hat jemand eine Erklärung dafür?
Im ersten Tab in Chrome auf der Diskstation angemeldet war und im zweiten TAB die www-Subdomain geöffnet habe?
Kann das daran gelegen haben?

CERT.PNG
 

Holger1974

Benutzer
Mitglied seit
16. Jul 2016
Beiträge
607
Punkte für Reaktionen
15
Punkte
44
Fehler gefunden: Anstatt example.com www.example.com eingeben, dann klappt's.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
"Standardzertifikat' ist jenes welches als Standard für NEU hinzukommende Dienste gesetzt wird.
Das wirkliche Standardzertifikat welches benutzt wird für alle Dienste für die nicht explizit ein eigenes Zertifikat gesetzt ist ist jenes für den Dienst 'Systemvoreinstellung' den du in der Liste unter 'Konfiguration' findest.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Automatisch ist in diesem Fall absolut NICHT empfehlenswert, da dafür Port 80 in der Firewall dauernd auf sein muss.
Wer begeht diesen Anfängerfehler noch in der heutigen Zeit?
 
  • Like
Reaktionen: soapfa

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
verstehe nicht ganz, wie soll dann der Update gemacht werden? Und warum soll 80 nicht auf sein?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.007
Punkte für Reaktionen
2.699
Punkte
423
Und warum soll 80 nicht auf sein?
Verstehe ich auch nicht. Auch alle kommerziellen Anbieter haben meist Port 80 offen und leiten dann http auf https um. Die können den Kunden ja nicht zumuten, vorher zu wissen, ob ihr Server http oder https spricht.
Im Privatbereich verstehe ich Befürchtung, falls die Umleitung nicht richtig konfiguriert ist. Dann lässt man wohl besser Port 80 zu.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.023
Punkte für Reaktionen
888
Punkte
204
verstehe nicht ganz, wie soll dann der Update gemacht werden? Und warum soll 80 nicht auf sein?
Deswegen hat er ja gesagt, man soll ihn als Privatperson nicht dauernd offen haben. Ich mache das auch so, dass ich den Port nur für die Erneuerung des Zertifikats kurz öffne und danach sofort wieder schließe, weil das nun mal einer der Ports ist, die bei Angriffen von außen standardmäßig ausprobiert werden, eben weil ihn jeder kennt.

Auch alle kommerziellen Anbieter haben meist Port 80 offen und leiten dann http auf https um.
Das mag sein, die haben aber wahrscheinlich auch andere Sicherheitsvorkehrungen.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
, weil das nun mal einer der Ports ist, die bei Angriffen von außen standardmäßig ausprobiert werden, eben weil ihn jeder kennt.
und? das ist doch ganz normal. Und warum soll Port 80 nicht ausprobiert werden? Und wozu ausprobieren? Das ist doch der normale Port für Webserver.
Bei meinem Webhoster kann ich auch Anfragen auf Port 80 beantworten lassen oder es intern auf 443 umleiten lassen, deswegen ist aber 80 grundsätzlich immer noch da

Also irgendwie kommt mir das merkwürdig vor
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.023
Punkte für Reaktionen
888
Punkte
204
Ist doch nur eine Empfehlung, du kannst das machen wie du willst. Ich persönlich denke halt, dass professionelle Anbieter im Netz deutlich mehr Energie und Ressourcen in die Absicherung ihrer IT stecken als ich das alleine zu Hause hinbekomme und deswegen mache ich nur die Ports auf, die ich brauche und das auch nur für die Zeit, in der ich sie brauche.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das 80 ein ganz normaler Port für Webanwendungen ist ist Schnee von gestern, falls das immer noch nicht durchgedrungen ist.
Der Standard ist HTTPS mit Port 443 und das aus gutem Grund. Auf der Syno den Port aus Bequemlichkeit dauerhaft offen zu halten ist grob fahrlässig aber macht nur, für einen File Server eine "geniale" Einstellung.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.007
Punkte für Reaktionen
2.699
Punkte
423
Das 80 ein ganz normaler Port für Webanwendungen ist ist Schnee von gestern
Probier mal ein "telnet <BeliebigerSeriöserAnbieter> 80" aus ;) Warum das meist geht, hatte ich versucht in #29 zu beschreiben.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
BeliebigerSeriöserAnbieter ist keine Syno bei einem Privatanwender der nur mal so 80 offen lässt weil es bequem ist
 
  • Like
Reaktionen: Monacum

figo

Benutzer
Mitglied seit
13. Jan 2022
Beiträge
13
Punkte für Reaktionen
1
Punkte
3
Hallo ,
über die Verlängerung bzw. die automatische Verlängerung , gibts auch hier im Forum unterschiedliche Meinungen .
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
nur mal so 80 offen lässt weil es bequem ist
hat nichts mit Bequemlichkeit zu tun, sondern mit Funktionalität
intern kann man dann auf 443 umleiten, aber man kann nicht erwarten, dass alle einen Webserver immer mit https://.... ansprechen
Was an einem Port 80 so böse sein soll kann ich immer noch nicht ganz verstehen.
Auch das Forum hier hört auf 80
 
  • Like
Reaktionen: Ulfhednir

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.244
Punkte für Reaktionen
912
Punkte
174
Wo wir bei der Ausgangssituation wären, warum möglicherweise Lets Encrypt nicht erneuert werden kann. Insbesondere in dem Zusammenhang von einem Anfängerfehler zu sprechen, finde ich etwas anmaßend. siehe auch:
https://letsencrypt.org/de/docs/allow-port-80/
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.023
Punkte für Reaktionen
888
Punkte
204
Was an einem Port 80 so böse sein soll kann ich immer noch nicht ganz verstehen.
Wenn jemand in dein System eindringen will, scannt er die Ports. Wenn er nicht weiß, wo er anfangen soll, nimmt er die bekannten wie 80 und 443 oder auch 22 für ssh. Wenn man die ändert, muss der potentielle Angreifer erstmal rumprobieren, was Zeit kostet. Das alleine verhindert keinen Angriff und wenn die Sicherung dahinter (Passwort, admin-Konto deaktiviert etc.) stark ist, mag es unnötig sein, es ist aber nochmal eine zusätzliche Absicherung. Wenn der Einbrecher nichtmal die Tür sehen kann, kann er nicht mal versuchen, einzubrechen.
Wo wir bei der Ausgangssituation wären, warum möglicherweise Lets Encrypt nicht erneuert werden kann. Insbesondere in dem Zusammenhang von einem Anfängerfehler zu sprechen, finde ich etwas anmaßend. siehe auch:
https://letsencrypt.org/de/docs/allow-port-80/
Ja, da gehen die Meinungen im Netz auseinander. Fakt ist aber auch, dass der Artikel schon drei Jahre alt ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
hat nichts mit Bequemlichkeit zu tun, sondern mit Funktionalität
i.....
ist reine Bequemlichkeit wenn man es wie in diesem Fall nur 1x alle drei Monate braucht!
Im übrigen finde ich es unverantwortlich unbedarften Nutzern zu suggerieren Port 80 aufzulassen wäre unkritisch. Der hinterletze aktuelle Internetbrowser markiert HTTP Seiten sofort als unsicher nur bei Synologynutzern ignoriert man das einfach.
Was hier für hahnebüchende Fehler in der Absicherung begangen werden ist oft genug zu lesen und jetzt propagiert man auch noch unverschlüsselte Ports.
Da hätte ich von alteingessessenen Forumsmitgliedern anderes Verantwortungsbewusstsein und auch mehr Wissen erwartet.
Und dann ist der Satz "aber man kann nicht erwarten, dass alle einen Webserver immer mit https://.... ansprechen...." so daneben wie er nur falsch sein kann. Standard heute ist HTTPS ob das gefällt oder nicht.
Aber sei es drum, jeder ist seines Glückes Schmied.....und ich klinke mich aus diesem Blödsinn hier aus
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat