Let's encrypt certificaat renewal zonder gebruik te maken van port 80

[D4nny]

Hallo, weet iemand of je op de Synology NAS met gebruik van Let's encrypt certificaten specifiek port 80 open moet hebben voor certificaat renewals, of dat het ook via andere portnummers / manieren kan tegenwoordig?

[Birdy]

Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet. Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen. Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.

Dit geldt ook voor DSM7.

[D4nny]

Ah ja, nog geen verandering in dus. Wil wel graag gebruik blijven maken van de certificaten, maar eigenlijk niet meer mijn poort 80 open hebben staan voor het gehele (deels criminele) internet...

[stapper]

ff een vraag beetje off topic...

Zo'n certificaat, van let's encrypt is dus gratis omdat het voor iedereen beschikbaar moet zijn neem ik aan?
Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?

[Briolet]

De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan. Hiervoor wordt een andere validatiemethode gebruikt.

[Briolet]

Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?

Des te korter de geldigheid, des te veiliger. Er wordt nml. niet altijd goed gecontroleerd of een certificaat voortijdig ingetrokken is en blijft een ongeldig certificaat gebruikt worden tot hij ook vanwege de geldigheidsduur ongeldig wordt.

Bij een volledig automatisch proces kun je de geldigheid kort houden.

[stapper]

ok ik snap hem ....

"De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan."

Hoe haalt hij dat dan op?  Hij kan dus als ik een DDNS naam heb dicht?

[Briolet]

Voor details van dat mechanisme moet je bij Let's Encrypt kijken. Lees het volgende stuk bij DNS-01 Callenge

Grof komt het erop neer dan de nas een code in de dns server zet als bewijs dat hij dat domein beheert. Let's Encrypt hoeft dan niet bij de nas, maar kijkt of de code in de domeinnaam instelling aanwezig is.

Dit werkt echter alleen praktisch bij DNS servers waar je geautomatseerd de DNS instellingen kan aanpassen. Dat kan maar bij een klein aantal DNS servers en Synology heeft er voor gekozen dit niet universeel te implementeren, maar alleen bij hun eigen DNS server, waar ze zelf de controle over hebben.

[stapper]

@Briolet

Even zien of ik dit nu goed snap, in mijn geval heb ik als host naam: naam.synology.me
Dat loopt dan dus via de dns  server van synology, ik had dus bij het aanmaken daarvan ook voor andere partijen kunnen kiezen.
In dit geval heb ik dat dus niet gedaan, en dus hoeft poort 80 niet geforward te worden?

Certificaat vernieuwen gaat dan verder automatisch?

[Hofstede]

Correct, voor naam.synology.me hoeft poort 80 niet open te staan naar de NAS.
Kun je zo testen door het certificaat te vernieuwen vanuit DSM.

[stapper]

dank beide... heb gelijk poort 80 dicht geklapt... ga ik straks even testen.

[pvkan]

Ik los dit altijd op door handmatig het certificaat bij te werken.
Bij mij staat poortje 80 standaard nl ook dicht.
Ik krijg altijd netjes enkele weken voor het verlopen van het certificaat een emailtje als herinnering.
Ik zet dan 80 even open, voor de update uit en sluit 80 direct weer af.
Dat alles duurt nog geen 2 minuten.

Dat risico durf ik wel te nemen ;-)

Peter

[D4nny]

@pvkan dat is inderdaad ook een optie, thanks. ga ik het ook zo doen zolang er geen andere weg is.

[Hofstede]

Of je koopt een certificaat voor een paar euro en bent er voor twee of drie jaar klaar mee. 

[Briolet]

Een certificaat kopen of Let's Encrypt gebruiken heeft eigenlijk alleen zin als je de nas externe toegang geeft aan derden.

Gebruik je hem alleen intern of extern zelf, dan kun je net zo goed een self-signed certificaat gebruiken en dit in je browser of OS opslaan.