Let's encrypt / End of Life TLS-SNI-01

[Briolet]

Op het Engelse forum is dit door een Synology medewerker geschreven:

The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.

Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.

If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.

Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.

For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Interessant. Het gebruik van DNS validatie wordt blijkbaar ook ondersteunt, maar alleen bij een certificaat op naam van een Synology DDNS naam. Blijkbaar zetten zij dan het benodigde in de DNS naam. Bij zo'n certificaat zou dus helemaal geen poort open hoeven te staan.

[Briolet]

De volgende regel intrigeerde me.

Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.

Dat betekend dat er een DNS-01 validatie gebeurd met de Synology DDNS naam. Om dit te testen heb ik een certificaat aangemaakt op mijn DDNS naam en vervolgens poort 80 & 443 dicht gezet op de nas.

Als ik het certificaat vervolgens verleng, heb ik binnen een paar seconden een nieuw certificaat. Ik heb het nog eens gecontroleerd met de aanvangstijd van geldigheid op het certificaat. In het log staat zowel de eerste aanmaak alsook het verlengen. De tijdcode op het certificaat komt overeen met het tijdstip van verlengen.

Als ik mijn reguliere certificaten verleng met gesloten poorten, krijg ik, zoals verwacht, een foutmelding.

Hoe Synology dit doet, snap ik nog niet, want voor DNS validatie moet er een "_acme-challenge.xxx.synology.me" subdomein zijn met een TXT record. Die is er echter niet. RaRa, want het werkt wel.

[ufosyno]

Ik blijf in spanning meelezen (is niet ook: overal mee begrijpen, helaas). @arnor: dank je door het ticket! Mag ik aannemen dat je het resultaat hier ook meldt?!

Als ik het nou goed lees in het Engelse bericht van de Synology medewerker lijkt de email storm in een glas water, mits poort 80 maar naar de NAS verwijst. Maar toch, daar heb ik wel aan staan dat hij HTTPS verkeer moet forceren, kan dat invloed hebben?

Ik werk niet met DDNS, want ik heb een (vrijwel) vast IP adres van m'n provider en als dat onverhoopt 's wijzigt (1 keer gebeurd in de afgelopen 6 jaar) dan past hij ook even netjes m'n DNS aan. Dus op dat deel van die tekst sla ik niet aan.

[arnor]

Ja hoor, als ik een reactie krijg laat ik van mij horen.

Zelf vind ik het ook behoorlijk spannend. Ik heb meerdere websites, bestaande uit meerdere subdomeinen, lopen. Allemaal keurig geregeld met een Let's Encrypt certificaat.

Ik vroeg me nog af of datgene wat de medewerker van Synology schrijft misschien alleen betrekking heeft op het standaard Synology-certificaat.

Als je mijn verwijzing naar Let's Encrypt hebt gelezen staat daar dat de degenen die de mail ontvingen nu nog een mail zullen krijgen onder vermelding van de domeinen die het betreft. Gebruikers waren namelijk behoorlijk in verwarring of het alle domeinen betreft die ze onderhouden. Die mail heb ik zelf nog niet gehad.

[Briolet]

…lijkt de email storm in een glas water, mits poort 80 maar naar de NAS verwijst.…

Dat staat al in de eerste reactie in dit draadje. In de help staat niet eens dat je poort 443 kunt gebruiken. (De poort die TLS-SNI-01  gebruikt). Dus alles in de handleiding is nog onveranderd geldig.

[arnor]

De reactie van Synology is boinnen:
----------
Thank you for contacting Synology support.
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.
 
If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.

Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.
 
If there is any problem, please feel free to contact us.
 
Yours Truly,
Technical Support

----------

Voor mijzelf is vooral de 'suggestie' van belang aangezien ik certificaten heb die niet verwijzen naar de Synology DDNS maar rechtstreeks naar een IP-adres. Poort 80 heb ik al heel lang openstaan. De suggestie is precies het onderdeel dat ik minder duidelijk vond in de reactie van de medewerker van Synology waarnaar Briolet verwees, maar dat is natuurlijk heel persoonlijk.

Overigens heb ik nog geen aanvullende mail ontvangen van Let's Encrypt hoewel dat wel is toegezegd.

[Briolet]

Dat is dezelfde reactie die ik eerder citeerde. Synology stuurt gewoon iedereen dezelfde info, die er naar vraagt. 

[arnor]

Dat zag ik maar ik schreef er niet voor niets bij: "De suggestie is precies het onderdeel dat ik minder duidelijk vond in de reactie van de medewerker van Synology waarnaar Briolet verwees, maar dat is natuurlijk heel persoonlijk.".

[ufosyno]

Mag ik (met dank aan alle anderen) nu even samenvatten, wat ik er - als leek op dit gebied - uit op kan maken?

- Let's encrypt stuurt een email over e.o.l. van TLS-SNI-01
- Dat mag geen probleem zijn als je poort 80 maar open hebt staan (voor HTTP-01) zegt na Briolet nu ook Synology
- Let's encrypt gaat nog een email sturen betreffende de domeinen die het betreft
- Die email is er nog niet (althans: ik heb 'm niet gekregen)

Mijn conclusie is nu we zullen moeten afwachten wat er gaat gebeuren:
- óf er is helemaal geen probleem
- óf we gaan het nog van Let's encrypt horen.

Ik wacht dan maar - in spanning - af! Of is dat nou net weer té simpel?

Blijft ook nog even hangen dat ik mij afvroeg of het feit dat ik het zo heb staan, dat alle verkeer via HTTPS moet plaatsvinden hier een bottleneck kan zijn...

[ufosyno]

... en vanmorgen blijken al mijn certificaten gewoon verlengd tot 23-4! Het probleem bestaat dus nu bij mij (nog) niet.

[arnor]

Inmiddels de lang verwachte mail van Let's Encrypt is binnen:
------------------

Hello,

Action may be required to prevent your Let's Encrypt certificate renewals
from breaking.

If you already received a similar e-mail, this one contains updated
information.

Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):

 <mijnsubdomein> (<mijnipadres>) on 2018-11-22

TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.
Any certificates issued before then will continue to work for 90 days
after their issuance date.

You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.

Our staging environment already has TLS-SNI-01 disabled, so if you'd like
to test whether your system will work after February 13, you can run
against staging: https://letsencrypt.org/docs/staging-environment/

If you're a Certbot user, you can find more information here:
https://community.letsencrypt.org/t/how-to-stop-using-tls-sni-01-with-certbot/83210

Our forum has many threads on this topic. Please search to see if your
question has been answered, then open a new thread if it has not:
https://community.letsencrypt.org/

For more information about the TLS-SNI-01 end-of-life please see our API
announcement:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff

----------------
Ik heb nu even geen tijd om de inhoud verder tot me te nemen, met name de verwijzing naar
https://letsencrypt.org/docs/staging-environment/

[Briolet]

Ik had vanochtend diezelfde mail. In tegenstelling tot de vorige mail heb je nu meer aanwijzingen om welk certificaat het gaat. Er staat nu de domeinnaam en datum van aanmaak in.

Dat stuk over "stagging environment" is niet relevant voor Synology gebruikers. Dat is een alternatieve test-url voor het aanvragen van test certificaten. De gegenereerde certificaten zijn ook niet algemeen geldig maar gebruiken een self-signed root certificaat dat je bij Let's Encrypt moet downloaden en in je browser moet installeren.

Dit stagging deel is dus echt voor het testen of je de configuratie goed hebt, zonder dat je een echt certificaat hoeft aan te vragen. Voor dit test certificaat liggen de dagelijkse quota gewoon veel hoger. Dit is dus voor de Synology ontwikkelaars en niet de gebruikers.

[Phoenix77]

Wel bijzonder dat zonder ook maar iets in te stellen mijn DS214Play toch blijkbaar standaard TLS-SNI-01 gebruikt om te vernieuwen.
Ik blijf ook maar duimen dat het klopt wat Synology zegt en dat http ook gewoon blijkt te werken straks.

[Briolet]

Dat is niet bijzonder. Er zijn allerlei modules in omloop voor het vernieuwen. Synology gebruikt er een die blijkbaar 3 protocollen ondersteunt. Hij werkt ze in vaste volgorde af. Blijkbaar begint hij bij TLS-SNI-01. (Hoewel Synology zelf claimt dat ze bij HTTP-01 beginnen te proberen.)

---

Ik kreeg vanochtend weer een mailtje zoals bovenstaand van Let's Encrypt. Nu over een certificaat die 28-12-'18 vernieuwd is. Het vreemde is dat er 11 alternate domeinen in dat certificaat staan, maar het mailtje benoemd er maar 1, en dat twee maal. Het hoofddomein (mijndomein.nl) of de andere alternate domeinen worden niet genoemd. Mijn xxx.synology.me naam staat ook bij de alternate domeinen.

Code: [Selecteer]

Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):

www.mijndomein.nl (217.121.xxx.xxx) on 2018-12-28
www.mijndomein.nl (217.121.xxx.xxx) on 2018-12-28

TLS-SNI-01 validation is reaching end-of-life. It will stop working…


[ufosyno]

Ergens geloof ik, dat ik het begin te begrijpen, vooral na het mailtje bij Briolet.

Zelf heb ik (nog steeds) niet een aanvullende email, terwijl al mijn certificaten gewoon werden verlengd. Kijk ik naar de tekst, dan kijkt Let's encrypt 60 dagen terug of er een verlenging heeft plaatsgevonden waarbij het gewraakte TLS-SNI-01 protocol werd gebruikt. Synology stelt aldoor, dat ze de vernieuwing beginnen met HTTP-01. Als nu om wat voor reden die niet tot resultaat kwam, wordt de poging blijkbaar ondernomen met TLS-SNI-01. Lang niet iedereen heeft het eerste Let's encrypt mail ontvangen:

- DUS in veel gevallen ging het goed via poort 80 op HTTP-01.

Dan blijkt (als ik het goed begrijp) nu, dat de tweede mail vaak lang niet alle domeinen meldt:

- DUS is ook daar voor een aantal domeinen de renewal wél goed gegaan, maar zijn er een paar die hebben gehikt en zijn teruggevallen op TLS-SNI-01.

Het begint er dus nu op te lijken, dat het vernieuwen eigenlijk altijd goed gaat. Maar als er door onbekende redenen tijdens de vernieuwing ruis op de lijn is geweest, waardoor de HTTP-01 cyclus niet afgehandeld kon worden, volgt er nu dus een waarschuwing van Let's encrypt.

Als (ik hou een slag om de arm...) deze conclusies juist blijken, is het inderdaad storm in een glas water. Maar ik zal ook nog even afwachten. Ik ben wel een beetje nieuwsgierig of deze conclusie door de echte kenners kan worden gedeeld