Auteur Topic: Let's encrypt / End of Life TLS-SNI-01  (gelezen 7341 keer)

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 170
Let's encrypt / End of Life TLS-SNI-01
« Gepost op: 18 januari 2019, 09:14:20 »
Ik ontving een mailbericht van Let's Encrypt met de volgende inhoud:
-------------------------------
Hello,

**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:

  https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
  Let's Encrypt Staff

---------------------------------------

Uit het bericht begrijp ik dat ik moet overschakelen naar een andere methode. Hoe organiseer ik dat.


Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #1 Gepost op: 18 januari 2019, 12:14:33 »
Je hoeft niet over te schakelen als je poort 80 open hebt staan. Synology gebruikt al vanaf het begin HTTP-01. Deze methode gebruikt poort 80.

TLS-SNI-01 is de methode die poort 443 gebruikt. Deze methode is al begin 2018 uitgeschakeld door Let's Encrypt voor 90% van de gebruikers. Alleen een paar grote gebruikers staan op de whitelist. Voor mij is niet duidelijk of Synology klanten bij de grote gebruikers horen die TLS-SNI-01 nog kunnen gebruiken. Vooral omdat Synology zelf noot het gebruik van poort 443 geadverteerd heeft.

Ik weet niet of dat mailtje naar alle gebruikers gegaan is, of alleen naar diegenen die TLS-SNI-01 gebruiken. De tekst in bovenstaand mailtje suggereert het laatste. Ik heb die mail nog niet gehad hoewel ik recentelijk als test ook twee renewals gedaan heb met poort 80 dicht.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 170
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #2 Gepost op: 18 januari 2019, 12:37:45 »
Gezien de tekst van de mail komt het me voor dat alleen gebruikers die de TLS-SNI-01 gebruikten deze mail hebben gekregen (of nog zullen krijgen).

Door eerdere problemen die ik eens met Let's Encrypt heb gehad heb ik toen ook poort 443 open gezet (80 staat al jaren open). Voorzover ik weet wordt 443 verder niet (meer) binnen mijn Synology-systeem gebruikt. Ik ga deze poort dan sluiten.

Offline Eddiexbmw

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 71
  • -Ontvangen: 42
  • Berichten: 361
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #3 Gepost op: 18 januari 2019, 13:00:49 »
Ik heb deze mail ook gekregen.

Voor mij is het wat klok en klepel, maar 443 is toch voor https?
Als ik 443 sluit, dan krijg ik op https://www.mijndomein.nl pagina niet gevonden, zet ik 443 open, dan krijg ik mijn pagina in beeld
  • Mijn Synology: DS920+
  • HDD's: 4 x WD40EFRX
  • Extra's: RT2600 + 3 x MR2200

Ben(V)

  • Gast
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #4 Gepost op: 18 januari 2019, 13:12:43 »
Je gooit dingen door elkaar.
Het gaat niet om het niet meer forwarden van poort 433 maar om het (tevens) forwarden van poort 80.

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #5 Gepost op: 18 januari 2019, 15:04:10 »
Ik heb 'm ook gekregen, maar heb in m'n router zowel poort 80 als poort 443 open en doorverwijzend naar de NAS. Dat omdat hier op het forum de hele tijd werd omgeroepen, dat je poort 80 open moest houden voor de vernieuwing van het Let's encrypt certificaat.

Het mailtje gaat me kwa inhoud deels boven de pet, maar ik begrijp eruit, dat ik - als ik niks doe - na 13 februari geen certificaat-update meer zou krijgen omdat m'n ACME cliënt (?? geen idee) geüpdatet moet worden... ergens verwacht ik dan dat Synology dat dan wel zou regelen.

Dit zou dus wel tot problemen kunnen leiden, zegt mijn beperkte kennis hiervan.

Kan iemand me gerust stellen of anders uitleggen wat ik moet doen om de gevolgen af te wenden?

  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Ben(V)

  • Gast
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #6 Gepost op: 18 januari 2019, 15:53:27 »
Volgens mij heeft @Briolet het prima uitgelegd.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #7 Gepost op: 18 januari 2019, 17:25:07 »
Er bestaan 4 protocollen voor een update. Synology heeft blijkbaar 2 geïmplementeerd. Een voor poort 80 en een voor poort 443. Als beide poorten open staan, gebruikt de nas blijkbaar het protocol via poort 443.

Bij mij zijn beide poorten  nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:



Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.

Ik had eigenlijk verwacht dat Synology het nieuwe protocol voor poort 443 zou gebruiken. Maar de mailtjes lijken te duiden op het oude protocol.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 170
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #8 Gepost op: 18 januari 2019, 17:41:05 »
Is de conclusie nu dat we Synology moeten inlichten? Of snap ik het nog niet?

Verstuurd vanaf mijn tablet


Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #9 Gepost op: 18 januari 2019, 21:32:07 »
Ik deel de conclusie van Arnor... en wij kunnen toch niet de enige (met eddixbmw zijn we met ons drieën)?

Maar voor mijn begrip: als je poort 443 niet open heb staan, heb je m.i. ook niets aan een certificaat, want dat wordt alleen gebruikt om het HTTPS- (en SSL, denk ik) verkeer met m'n webserver op een correcte wijze te kunnen versleutelen. Dit naast 465 en 993 voor mail.

Eenmaal een certificaat en dan "afdwingen" dat het verkeer altijd via HTTPS gaat zou dus in kunnen houden dat poort 80 in onbruik raakt en dus ook dicht zou kunnen. Dan wordt nu weer (weer, want ik had het ook al begrepen toen ik met Let's encrypt begon) dat Let's encrypt toch poort 80 open moet hebben om te kunnen renewen. Nu laat Briolet zien dat blijkbaar dan toch via 443 wordt vernieuwd...

Aan alle kenners een groot compliment, maar ik snap er intussen geen jota meer van en ben toch wel een beetje bang dat in na het verlopen van het huidige certificaat niet meer van buiten bij m'n NAS kan via een versleutelde verbinding. Dat zou een beetje "einde hobby" betekenen  :'(
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #10 Gepost op: 18 januari 2019, 22:51:34 »
Bij mij zijn beide poorten  nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:

Afbeelding Darkstat.

Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.
443 in de afbeelding is de remote poort, waar de NAS naartoe verbind 66.133.109.36:443, uitgaand verkeer is default allow (geldt ook voor router!).
42238 en 41890 is local, terugkomend van 66.133.109.36:443, terugkomend verkeer geïnitieerd door local is default allow (geldt ook voor router!).
Met andere woorden, voor de connectie getoond in de afbeelding is geen enkele port forward nodig omdat de connectie geïnitieerd lijkt/is door de NAS.

Gebruik zelf geen LE maar is/was het niet zo dat de port forward alleen nodig is zodat LE het certificaat kan checken?
Dat zou Darkstat dan ook moeten zien.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #11 Gepost op: 19 januari 2019, 00:13:13 »
@MMD, Ik snapte dat ook niet en heb een hele capture met Wireschark gedaan.

43793-0

De nas begint met het opzetten van een verbinding met "acme-v01.api.letsencrypt.org (104.98.128.217)". Dit is dus de voorbereiding van de renewal.

Vervolgens komt er een verbinding binnen vanaf "outbound1.letsencrypt.org (66.133.109.36)". De eerste keer dat "66.133.109.36" in de dump verschijnt is als source. De poort op "this host" zou dus 443 moeten zijn in dat Darkstat overzicht. Waarom dat niet zo is snap ik even niet. (maar gezien de tijd op mijn klok moet ik ook niet proberen dat nu te begrijpen  ;) ) Verder is dit allemaal TLS verkeer zodat je ook niet even snel kunt zien welke data uitgewisseld wordt.

Vervolgens sluit het protocol af met de server waarmee hij begon.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #12 Gepost op: 19 januari 2019, 00:30:51 »
Als ik het betreffende IP uit-filter, zie je dat het eerste contact met dat IP richting poort 443 op de nas gaat. Tegenstrijdig met het DarkStat log.

43785-0
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 170
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #13 Gepost op: 19 januari 2019, 01:48:21 »
Ik zag dat op het officiële Synology-forum (community.synology.com) ook meer dan een tiental mensen gewag maakt van het ontvangen e-mailbericht, zie

Forumbericht

Aangezien ik ook daar nog geen reacties vanuit Synology zelf zag staan heb ik zekerheidshalve een ticket ingediend bij Synology.

Offline arnor

  • Bedankjes
  • -Gegeven: 46
  • -Ontvangen: 13
  • Berichten: 170
Re: Let's encrypt / End of Life TLS-SNI-01
« Reactie #14 Gepost op: 19 januari 2019, 01:55:13 »
Bij Let's Encrypt zelf vind ik ook nog iets:

https://community.letsencrypt.org/t/how-to-resolve-tls-sni-deprecation/83166

maar zie daar nog niets dat specifiek voor Synology-apparatuur is of jullie wel?


 

Let's encrypt certificaat probleem

Gestart door Forum026Board Synology DSM 6.1

Reacties: 4
Gelezen: 2928
Laatste bericht 31 juli 2017, 22:41:28
door Birdy
Let's encrypt verlengd certificaten niet meer na overzetten

Gestart door ufosynoBoard Synology DSM algemeen

Reacties: 5
Gelezen: 1242
Laatste bericht 21 november 2020, 11:50:21
door Briolet
Let's Encrypt certificaat

Gestart door GerardSBoard Synology DSM algemeen

Reacties: 8
Gelezen: 992
Laatste bericht 06 mei 2021, 21:45:50
door GerardS
VERPLAATST: Let's Encrypt certificaat

Gestart door BirdyBoard Overige software

Reacties: 0
Gelezen: 949
Laatste bericht 06 mei 2021, 16:53:02
door Birdy
Let's encrypt op twee diskstations in zelfde netwerk wens, is dit mogelijk ?

Gestart door florisvnBoard Synology DSM algemeen

Reacties: 4
Gelezen: 1963
Laatste bericht 02 juli 2018, 12:29:55
door Briolet