Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: arnor op 18 januari 2019, 09:14:20
-
Ik ontving een mailbericht van Let's Encrypt met de volgende inhoud:
-------------------------------
Hello,
**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**
Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.
TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**
You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.
If you need help updating your ACME client, please open a new topic in the Help category of the Let's Encrypt community forum:
https://community.letsencrypt.org/c/help
Please answer all of the questions in the topic template so we can help you.
For more information about the TLS-SNI-01 end-of-life please see our API announcement:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209
Thank you,
Let's Encrypt Staff
---------------------------------------
Uit het bericht begrijp ik dat ik moet overschakelen naar een andere methode. Hoe organiseer ik dat.
-
Je hoeft niet over te schakelen als je poort 80 open hebt staan. Synology gebruikt al vanaf het begin HTTP-01. Deze methode gebruikt poort 80.
TLS-SNI-01 is de methode die poort 443 gebruikt. Deze methode is al begin 2018 uitgeschakeld door Let's Encrypt voor 90% van de gebruikers. Alleen een paar grote gebruikers staan op de whitelist. Voor mij is niet duidelijk of Synology klanten bij de grote gebruikers horen die TLS-SNI-01 nog kunnen gebruiken. Vooral omdat Synology zelf noot het gebruik van poort 443 geadverteerd heeft.
Ik weet niet of dat mailtje naar alle gebruikers gegaan is, of alleen naar diegenen die TLS-SNI-01 gebruiken. De tekst in bovenstaand mailtje suggereert het laatste. Ik heb die mail nog niet gehad hoewel ik recentelijk als test ook twee renewals gedaan heb met poort 80 dicht.
-
Gezien de tekst van de mail komt het me voor dat alleen gebruikers die de TLS-SNI-01 gebruikten deze mail hebben gekregen (of nog zullen krijgen).
Door eerdere problemen die ik eens met Let's Encrypt heb gehad heb ik toen ook poort 443 open gezet (80 staat al jaren open). Voorzover ik weet wordt 443 verder niet (meer) binnen mijn Synology-systeem gebruikt. Ik ga deze poort dan sluiten.
-
Ik heb deze mail ook gekregen.
Voor mij is het wat klok en klepel, maar 443 is toch voor https?
Als ik 443 sluit, dan krijg ik op https://www.mijndomein.nl pagina niet gevonden, zet ik 443 open, dan krijg ik mijn pagina in beeld
-
Je gooit dingen door elkaar.
Het gaat niet om het niet meer forwarden van poort 433 maar om het (tevens) forwarden van poort 80.
-
Ik heb 'm ook gekregen, maar heb in m'n router zowel poort 80 als poort 443 open en doorverwijzend naar de NAS. Dat omdat hier op het forum de hele tijd werd omgeroepen, dat je poort 80 open moest houden voor de vernieuwing van het Let's encrypt certificaat.
Het mailtje gaat me kwa inhoud deels boven de pet, maar ik begrijp eruit, dat ik - als ik niks doe - na 13 februari geen certificaat-update meer zou krijgen omdat m'n ACME cliënt (?? geen idee) geüpdatet moet worden... ergens verwacht ik dan dat Synology dat dan wel zou regelen.
Dit zou dus wel tot problemen kunnen leiden, zegt mijn beperkte kennis hiervan.
Kan iemand me gerust stellen of anders uitleggen wat ik moet doen om de gevolgen af te wenden?
-
Volgens mij heeft @Briolet het prima uitgelegd.
-
Er bestaan 4 protocollen voor een update. Synology heeft blijkbaar 2 geïmplementeerd. Een voor poort 80 en een voor poort 443. Als beide poorten open staan, gebruikt de nas blijkbaar het protocol via poort 443.
Bij mij zijn beide poorten nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:
[attachimg=1]
Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.
Ik had eigenlijk verwacht dat Synology het nieuwe protocol voor poort 443 zou gebruiken. Maar de mailtjes lijken te duiden op het oude protocol.
-
Is de conclusie nu dat we Synology moeten inlichten? Of snap ik het nog niet?
Verstuurd vanaf mijn tablet
-
Ik deel de conclusie van Arnor... en wij kunnen toch niet de enige (met eddixbmw zijn we met ons drieën)?
Maar voor mijn begrip: als je poort 443 niet open heb staan, heb je m.i. ook niets aan een certificaat, want dat wordt alleen gebruikt om het HTTPS- (en SSL, denk ik) verkeer met m'n webserver op een correcte wijze te kunnen versleutelen. Dit naast 465 en 993 voor mail.
Eenmaal een certificaat en dan "afdwingen" dat het verkeer altijd via HTTPS gaat zou dus in kunnen houden dat poort 80 in onbruik raakt en dus ook dicht zou kunnen. Dan wordt nu weer (weer, want ik had het ook al begrepen toen ik met Let's encrypt begon) dat Let's encrypt toch poort 80 open moet hebben om te kunnen renewen. Nu laat Briolet zien dat blijkbaar dan toch via 443 wordt vernieuwd...
Aan alle kenners een groot compliment, maar ik snap er intussen geen jota meer van en ben toch wel een beetje bang dat in na het verlopen van het huidige certificaat niet meer van buiten bij m'n NAS kan via een versleutelde verbinding. Dat zou een beetje "einde hobby" betekenen :'(
-
Bij mij zijn beide poorten nml naar de nas geforward en bij een verlenging zie ik het volgende verkeer met Darkstat:
Afbeelding Darkstat.
Let's Encrypt ziet alleen dat het protocol voor poort 443 gebruikt wordt. Dat de nas ook poort 80 kan gebruiken weten ze niet.
443 in de afbeelding is de remote poort, waar de NAS naartoe verbind 66.133.109.36:443, uitgaand verkeer is default allow (geldt ook voor router!).
42238 en 41890 is local, terugkomend van 66.133.109.36:443, terugkomend verkeer geïnitieerd door local is default allow (geldt ook voor router!).
Met andere woorden, voor de connectie getoond in de afbeelding is geen enkele port forward nodig omdat de connectie geïnitieerd lijkt/is door de NAS.
Gebruik zelf geen LE maar is/was het niet zo dat de port forward alleen nodig is zodat LE het certificaat kan checken?
Dat zou Darkstat dan ook moeten zien.
-
@MMD, Ik snapte dat ook niet en heb een hele capture met Wireschark gedaan.
[attachimg=1]
De nas begint met het opzetten van een verbinding met "acme-v01.api.letsencrypt.org (104.98.128.217)". Dit is dus de voorbereiding van de renewal.
Vervolgens komt er een verbinding binnen vanaf "outbound1.letsencrypt.org (66.133.109.36)". De eerste keer dat "66.133.109.36" in de dump verschijnt is als source. De poort op "this host" zou dus 443 moeten zijn in dat Darkstat overzicht. Waarom dat niet zo is snap ik even niet. (maar gezien de tijd op mijn klok moet ik ook niet proberen dat nu te begrijpen ;) ) Verder is dit allemaal TLS verkeer zodat je ook niet even snel kunt zien welke data uitgewisseld wordt.
Vervolgens sluit het protocol af met de server waarmee hij begon.
-
Als ik het betreffende IP uit-filter, zie je dat het eerste contact met dat IP richting poort 443 op de nas gaat. Tegenstrijdig met het DarkStat log.
[attachimg=1]
-
Ik zag dat op het officiële Synology-forum (community.synology.com) ook meer dan een tiental mensen gewag maakt van het ontvangen e-mailbericht, zie
Forumbericht (https://community.synology.com/forum/16/post/122673?page=1)
Aangezien ik ook daar nog geen reacties vanuit Synology zelf zag staan heb ik zekerheidshalve een ticket ingediend bij Synology.
-
Bij Let's Encrypt zelf vind ik ook nog iets:
https://community.letsencrypt.org/t/how-to-resolve-tls-sni-deprecation/83166 (https://community.letsencrypt.org/t/how-to-resolve-tls-sni-deprecation/83166)
maar zie daar nog niets dat specifiek voor Synology-apparatuur is of jullie wel?
-
Op het Engelse forum is dit door een Synology medewerker geschreven:
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.
If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.
Interessant. Het gebruik van DNS validatie wordt blijkbaar ook ondersteunt, maar alleen bij een certificaat op naam van een Synology DDNS naam. Blijkbaar zetten zij dan het benodigde in de DNS naam. Bij zo'n certificaat zou dus helemaal geen poort open hoeven te staan.
-
De volgende regel intrigeerde me.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
Dat betekend dat er een DNS-01 validatie gebeurd met de Synology DDNS naam. Om dit te testen heb ik een certificaat aangemaakt op mijn DDNS naam en vervolgens poort 80 & 443 dicht gezet op de nas.
Als ik het certificaat vervolgens verleng, heb ik binnen een paar seconden een nieuw certificaat. Ik heb het nog eens gecontroleerd met de aanvangstijd van geldigheid op het certificaat. In het log staat zowel de eerste aanmaak alsook het verlengen. De tijdcode op het certificaat komt overeen met het tijdstip van verlengen.
Als ik mijn reguliere certificaten verleng met gesloten poorten, krijg ik, zoals verwacht, een foutmelding.
Hoe Synology dit doet, snap ik nog niet, want voor DNS validatie moet er een "_acme-challenge.xxx.synology.me" subdomein zijn met een TXT record. Die is er echter niet. RaRa, want het werkt wel.
-
Ik blijf in spanning meelezen (is niet ook: overal mee begrijpen, helaas). @arnor: dank je door het ticket! Mag ik aannemen dat je het resultaat hier ook meldt?!
Als ik het nou goed lees in het Engelse bericht van de Synology medewerker lijkt de email storm in een glas water, mits poort 80 maar naar de NAS verwijst. Maar toch, daar heb ik wel aan staan dat hij HTTPS verkeer moet forceren, kan dat invloed hebben?
Ik werk niet met DDNS, want ik heb een (vrijwel) vast IP adres van m'n provider en als dat onverhoopt 's wijzigt (1 keer gebeurd in de afgelopen 6 jaar) dan past hij ook even netjes m'n DNS aan. Dus op dat deel van die tekst sla ik niet aan.
-
Ja hoor, als ik een reactie krijg laat ik van mij horen.
Zelf vind ik het ook behoorlijk spannend. Ik heb meerdere websites, bestaande uit meerdere subdomeinen, lopen. Allemaal keurig geregeld met een Let's Encrypt certificaat.
Ik vroeg me nog af of datgene wat de medewerker van Synology schrijft misschien alleen betrekking heeft op het standaard Synology-certificaat.
Als je mijn verwijzing naar Let's Encrypt hebt gelezen staat daar dat de degenen die de mail ontvingen nu nog een mail zullen krijgen onder vermelding van de domeinen die het betreft. Gebruikers waren namelijk behoorlijk in verwarring of het alle domeinen betreft die ze onderhouden. Die mail heb ik zelf nog niet gehad.
-
…lijkt de email storm in een glas water, mits poort 80 maar naar de NAS verwijst.…
Dat staat al in de eerste reactie in dit draadje. In de help staat niet eens dat je poort 443 kunt gebruiken. (De poort die TLS-SNI-01 gebruikt). Dus alles in de handleiding is nog onveranderd geldig.
-
De reactie van Synology is boinnen:
----------
Thank you for contacting Synology support.
The Let’s Encrypt built-in Synology supports TLS-SNI-01, HTTP-01 and DNS-01 validation.
Although TLS-SNI-01 validation is reaching end-of-life, the Synology Let’s Encrypt will not be affected.
If you have enabled Synology DDNS and use the name to apply for the certificate, the process will go through HTTP-01 validation first.
Once Synology DDNS server is not ready, or there is any failure during HTTP-01 validation, the process will fall back to DNS-01 validation.
For non-Synology name service, it uses HTTP-01 which requires port 80 accessibility.
Thus, we suggest you keep port 80 open for validation if you do not user Synology DDNS name to apply the certificate.
If there is any problem, please feel free to contact us.
Yours Truly,
Technical Support
----------
Voor mijzelf is vooral de 'suggestie' van belang aangezien ik certificaten heb die niet verwijzen naar de Synology DDNS maar rechtstreeks naar een IP-adres. Poort 80 heb ik al heel lang openstaan. De suggestie is precies het onderdeel dat ik minder duidelijk vond in de reactie van de medewerker van Synology waarnaar Briolet verwees, maar dat is natuurlijk heel persoonlijk.
Overigens heb ik nog geen aanvullende mail ontvangen van Let's Encrypt hoewel dat wel is toegezegd.
-
Dat is dezelfde reactie die ik eerder citeerde. Synology stuurt gewoon iedereen dezelfde info, die er naar vraagt. ;)
-
Dat zag ik maar ik schreef er niet voor niets bij: "De suggestie is precies het onderdeel dat ik minder duidelijk vond in de reactie van de medewerker van Synology waarnaar Briolet verwees, maar dat is natuurlijk heel persoonlijk.".
-
Mag ik (met dank aan alle anderen) nu even samenvatten, wat ik er - als leek op dit gebied - uit op kan maken?
- Let's encrypt stuurt een email over e.o.l. van TLS-SNI-01
- Dat mag geen probleem zijn als je poort 80 maar open hebt staan (voor HTTP-01) zegt na Briolet nu ook Synology
- Let's encrypt gaat nog een email sturen betreffende de domeinen die het betreft
- Die email is er nog niet (althans: ik heb 'm niet gekregen)
Mijn conclusie is nu we zullen moeten afwachten wat er gaat gebeuren:
- óf er is helemaal geen probleem
- óf we gaan het nog van Let's encrypt horen.
Ik wacht dan maar - in spanning - af! Of is dat nou net weer té simpel?
Blijft ook nog even hangen dat ik mij afvroeg of het feit dat ik het zo heb staan, dat alle verkeer via HTTPS moet plaatsvinden hier een bottleneck kan zijn...
-
... en vanmorgen blijken al mijn certificaten gewoon verlengd tot 23-4! Het probleem bestaat dus nu bij mij (nog) niet.
-
Inmiddels de lang verwachte mail van Let's Encrypt is binnen:
------------------
Hello,
Action may be required to prevent your Let's Encrypt certificate renewals
from breaking.
If you already received a similar e-mail, this one contains updated
information.
Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):
<mijnsubdomein> (<mijnipadres>) on 2018-11-22
TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.
Any certificates issued before then will continue to work for 90 days
after their issuance date.
You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.
Our staging environment already has TLS-SNI-01 disabled, so if you'd like
to test whether your system will work after February 13, you can run
against staging: https://letsencrypt.org/docs/staging-environment/
If you're a Certbot user, you can find more information here:
https://community.letsencrypt.org/t/how-to-stop-using-tls-sni-01-with-certbot/83210
Our forum has many threads on this topic. Please search to see if your
question has been answered, then open a new thread if it has not:
https://community.letsencrypt.org/
For more information about the TLS-SNI-01 end-of-life please see our API
announcement:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209
Thank you,
Let's Encrypt Staff
----------------
Ik heb nu even geen tijd om de inhoud verder tot me te nemen, met name de verwijzing naar
https://letsencrypt.org/docs/staging-environment/ (https://letsencrypt.org/docs/staging-environment/)
-
Ik had vanochtend diezelfde mail. In tegenstelling tot de vorige mail heb je nu meer aanwijzingen om welk certificaat het gaat. Er staat nu de domeinnaam en datum van aanmaak in.
Dat stuk over "stagging environment" is niet relevant voor Synology gebruikers. Dat is een alternatieve test-url voor het aanvragen van test certificaten. De gegenereerde certificaten zijn ook niet algemeen geldig maar gebruiken een self-signed root certificaat dat je bij Let's Encrypt moet downloaden en in je browser moet installeren.
Dit stagging deel is dus echt voor het testen of je de configuratie goed hebt, zonder dat je een echt certificaat hoeft aan te vragen. Voor dit test certificaat liggen de dagelijkse quota gewoon veel hoger. Dit is dus voor de Synology ontwikkelaars en niet de gebruikers.
-
Wel bijzonder dat zonder ook maar iets in te stellen mijn DS214Play toch blijkbaar standaard TLS-SNI-01 gebruikt om te vernieuwen.
Ik blijf ook maar duimen dat het klopt wat Synology zegt en dat http ook gewoon blijkt te werken straks.
-
Dat is niet bijzonder. Er zijn allerlei modules in omloop voor het vernieuwen. Synology gebruikt er een die blijkbaar 3 protocollen ondersteunt. Hij werkt ze in vaste volgorde af. Blijkbaar begint hij bij TLS-SNI-01. (Hoewel Synology zelf claimt dat ze bij HTTP-01 beginnen te proberen.)
---
Ik kreeg vanochtend weer een mailtje zoals bovenstaand van Let's Encrypt. Nu over een certificaat die 28-12-'18 vernieuwd is. Het vreemde is dat er 11 alternate domeinen in dat certificaat staan, maar het mailtje benoemd er maar 1, en dat twee maal. Het hoofddomein (mijndomein.nl) of de andere alternate domeinen worden niet genoemd. Mijn xxx.synology.me naam staat ook bij de alternate domeinen.
Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):
www.mijndomein.nl (217.121.xxx.xxx) on 2018-12-28
www.mijndomein.nl (217.121.xxx.xxx) on 2018-12-28
TLS-SNI-01 validation is reaching end-of-life. It will stop working…
-
Ergens geloof ik, dat ik het begin te begrijpen, vooral na het mailtje bij Briolet.
Zelf heb ik (nog steeds) niet een aanvullende email, terwijl al mijn certificaten gewoon werden verlengd. Kijk ik naar de tekst, dan kijkt Let's encrypt 60 dagen terug of er een verlenging heeft plaatsgevonden waarbij het gewraakte TLS-SNI-01 protocol werd gebruikt. Synology stelt aldoor, dat ze de vernieuwing beginnen met HTTP-01. Als nu om wat voor reden die niet tot resultaat kwam, wordt de poging blijkbaar ondernomen met TLS-SNI-01. Lang niet iedereen heeft het eerste Let's encrypt mail ontvangen:
- DUS in veel gevallen ging het goed via poort 80 op HTTP-01.
Dan blijkt (als ik het goed begrijp) nu, dat de tweede mail vaak lang niet alle domeinen meldt:
- DUS is ook daar voor een aantal domeinen de renewal wél goed gegaan, maar zijn er een paar die hebben gehikt en zijn teruggevallen op TLS-SNI-01.
Het begint er dus nu op te lijken, dat het vernieuwen eigenlijk altijd goed gaat. Maar als er door onbekende redenen tijdens de vernieuwing ruis op de lijn is geweest, waardoor de HTTP-01 cyclus niet afgehandeld kon worden, volgt er nu dus een waarschuwing van Let's encrypt.
Als (ik hou een slag om de arm...) deze conclusies juist blijken, is het inderdaad storm in een glas water. Maar ik zal ook nog even afwachten. Ik ben wel een beetje nieuwsgierig of deze conclusie door de echte kenners kan worden gedeeld ;)
-
En uiteindelijk kreeg ik de email ook, voor één van m'n domeinen en - opvallend - ook de mededeling dat op 22-11-2018 de vernieuwing via TLS-SNI-01 plaatsvond.
Niets hoor ik betreffende de laatste verlenging... ik blijf - geloof ik - maar even bij m'n conclusie in het vorige bericht. Het lijkt dat er meer specifiek op 22 november 2018 er een probleempje is geweest.
-
......Dan blijkt (als ik het goed begrijp) nu, dat de tweede mail vaak lang niet alle domeinen meldt: .........
Let wel op dat betrekking tot vermelde (sub)domeinen wordt gesteld:
-------
Below is a list of names and IP
addresses validated (max of one per account):
-------
Het subdomein dat bij mij werd gemeld is onderdeel van een certificaat dat totaal 15 (sub)domeinen bevat.
Verzonden vanaf mijn iPhone met Tapatalk
-
Ik heb in mijn NAS twee certificaten staan, voor verschillende domeinnamen, allebei hebben ze ook een aantal subdomeinen.
Nou is het wel zo, dat het tweede certificaat (door een foutje van mij in het begin) ook als subdomein in de eerste staat. Ik dacht dat je voor alle domeinen in één keer een certificaat aan kon vragen, maar dat certificaat werd niet herkend voor het andere domein, dus heb ik toentertijd een tweede certificaat aangevraagd en dus ook die tweede gekregen. Nu melden ze er maar een.
Maar bovenal: ze stellen dat ze op 22 november 2018 via TLS hebben vernieuwd, maar ik heb nadien al weer twee renewals gehad, waar ze niks over zeggen. Ik had dus verwacht, dat wanneer de laatste renewal (die van eergisteren) fout was gegaan, dat ze die datum hadden vermeld. Maar nee dus.
Ik dacht dat ik het begon te begrijpen... maar nou toch weer niet?
-
En om dit topic - denk ik - sluitbaar te maken:
Al m'n certificaten zijn zonder hikken verlengd, ik veranderde niets, dus blijft het bij de eerdere conclusie: storm in een glas water, in elk geval voor de synology-gebruikers!