Let's encrypt / End of Life TLS-SNI-01

[arnor]

Ik ontving een mailbericht van Let's Encrypt met de volgende inhoud:
-------------------------------
Hello,

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

  https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
  Let's Encrypt Staff
---------------------------------------

Uit het bericht begrijp ik dat ik moet overschakelen naar een andere methode. Hoe organiseer ik dat.

[Briolet]

Je hoeft niet over te schakelen als je poort 80 open hebt staan. Synology gebruikt al vanaf het begin HTTP-01. Deze methode gebruikt poort 80.

TLS-SNI-01 is de methode die poort 443 gebruikt. Deze methode is al begin 2018 uitgeschakeld door Let's Encrypt voor 90% van de gebruikers. Alleen een paar grote gebruikers staan op de whitelist. Voor mij is niet duidelijk of Synology klanten bij de grote gebruikers horen die TLS-SNI-01 nog kunnen gebruiken. Vooral omdat Synology zelf noot het gebruik van poort 443 geadverteerd heeft.

Ik weet niet of dat mailtje naar alle gebruikers gegaan is, of alleen naar diegenen die TLS-SNI-01 gebruiken. De tekst in bovenstaand mailtje suggereert het laatste. Ik heb die mail nog niet gehad hoewel ik recentelijk als test ook twee renewals gedaan heb met poort 80 dicht.

[arnor]

Gezien de tekst van de mail komt het me voor dat alleen gebruikers die de TLS-SNI-01 gebruikten deze mail hebben gekregen (of nog zullen krijgen).

Door eerdere problemen die ik eens met Let's Encrypt heb gehad heb ik toen ook poort 443 open gezet (80 staat al jaren open). Voorzover ik weet wordt 443 verder niet (meer) binnen mijn Synology-systeem gebruikt. Ik ga deze poort dan sluiten.

[Eddiexbmw]

Ik heb deze mail ook gekregen.

Voor mij is het wat klok en klepel, maar 443 is toch voor https?
Als ik 443 sluit, dan krijg ik op https://www.mijndomein.nl pagina niet gevonden, zet ik 443 open, dan krijg ik mijn pagina in beeld

[Ben(V)]

Je gooit dingen door elkaar.
Het gaat niet om het niet meer forwarden van poort 433 maar om het (tevens) forwarden van poort 80.

[ufosyno]

Ik heb 'm ook gekregen, maar heb in m'n router zowel poort 80 als poort 443 open en doorverwijzend naar de NAS. Dat omdat hier op het forum de hele tijd werd omgeroepen, dat je poort 80 open moest houden voor de vernieuwing van het Let's encrypt certificaat.

Het mailtje gaat me kwa inhoud deels boven de pet, maar ik begrijp eruit, dat ik - als ik niks doe - na 13 februari geen certificaat-update meer zou krijgen omdat m'n ACME cliënt (?? geen idee) geüpdatet moet worden... ergens verwacht ik dan dat Synology dat dan wel zou regelen.

Dit zou dus wel tot problemen kunnen leiden, zegt mijn beperkte kennis hiervan.

Kan iemand me gerust stellen of anders uitleggen wat ik moet doen om de gevolgen af te wenden?

[Ben(V)]

Volgens mij heeft @Briolet het prima uitgelegd.

[Briolet]

Er bestaan 4 protocollen voor een update. Synology heeft blijkbaar 2 geïmplementeerd. Een voor poort 80 en een voor poort 443. Als beide poorten open staan, gebruikt de nas blijkbaar het protocol via poort 443.

Bij mij zijn beide poorten  nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:



Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.

Ik had eigenlijk verwacht dat Synology het nieuwe protocol voor poort 443 zou gebruiken. Maar de mailtjes lijken te duiden op het oude protocol.

[arnor]

Is de conclusie nu dat we Synology moeten inlichten? Of snap ik het nog niet?

Verstuurd vanaf mijn tablet

[ufosyno]

Ik deel de conclusie van Arnor... en wij kunnen toch niet de enige (met eddixbmw zijn we met ons drieën)?

Maar voor mijn begrip: als je poort 443 niet open heb staan, heb je m.i. ook niets aan een certificaat, want dat wordt alleen gebruikt om het HTTPS- (en SSL, denk ik) verkeer met m'n webserver op een correcte wijze te kunnen versleutelen. Dit naast 465 en 993 voor mail.

Eenmaal een certificaat en dan "afdwingen" dat het verkeer altijd via HTTPS gaat zou dus in kunnen houden dat poort 80 in onbruik raakt en dus ook dicht zou kunnen. Dan wordt nu weer (weer, want ik had het ook al begrepen toen ik met Let's encrypt begon) dat Let's encrypt toch poort 80 open moet hebben om te kunnen renewen. Nu laat Briolet zien dat blijkbaar dan toch via 443 wordt vernieuwd...

Aan alle kenners een groot compliment, maar ik snap er intussen geen jota meer van en ben toch wel een beetje bang dat in na het verlopen van het huidige certificaat niet meer van buiten bij m'n NAS kan via een versleutelde verbinding. Dat zou een beetje "einde hobby" betekenen 

[Pippin]

Bij mij zijn beide poorten  nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:

Afbeelding Darkstat.

Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.

443 in de afbeelding is de remote poort, waar de NAS naartoe verbind 66.133.109.36:443, uitgaand verkeer is default allow (geldt ook voor router!).
42238 en 41890 is local, terugkomend van 66.133.109.36:443, terugkomend verkeer geïnitieerd door local is default allow (geldt ook voor router!).
Met andere woorden, voor de connectie getoond in de afbeelding is geen enkele port forward nodig omdat de connectie geïnitieerd lijkt/is door de NAS.

Gebruik zelf geen LE maar is/was het niet zo dat de port forward alleen nodig is zodat LE het certificaat kan checken?
Dat zou Darkstat dan ook moeten zien.

[Briolet]

@MMD, Ik snapte dat ook niet en heb een hele capture met Wireschark gedaan.



De nas begint met het opzetten van een verbinding met "acme-v01.api.letsencrypt.org (104.98.128.217)". Dit is dus de voorbereiding van de renewal.

Vervolgens komt er een verbinding binnen vanaf "outbound1.letsencrypt.org (66.133.109.36)". De eerste keer dat "66.133.109.36" in de dump verschijnt is als source. De poort op "this host" zou dus 443 moeten zijn in dat Darkstat overzicht. Waarom dat niet zo is snap ik even niet. (maar gezien de tijd op mijn klok moet ik ook niet proberen dat nu te begrijpen  ) Verder is dit allemaal TLS verkeer zodat je ook niet even snel kunt zien welke data uitgewisseld wordt.

Vervolgens sluit het protocol af met de server waarmee hij begon.

[Briolet]

Als ik het betreffende IP uit-filter, zie je dat het eerste contact met dat IP richting poort 443 op de nas gaat. Tegenstrijdig met het DarkStat log.

[arnor]

Ik zag dat op het officiële Synology-forum (community.synology.com) ook meer dan een tiental mensen gewag maakt van het ontvangen e-mailbericht, zie

Forumbericht

Aangezien ik ook daar nog geen reacties vanuit Synology zelf zag staan heb ik zekerheidshalve een ticket ingediend bij Synology.

[arnor]

Bij Let's Encrypt zelf vind ik ook nog iets:

https://community.letsencrypt.org/t/how-to-resolve-tls-sni-deprecation/83166

maar zie daar nog niets dat specifiek voor Synology-apparatuur is of jullie wel?