Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: D4nny op 03 maart 2022, 15:43:33
-
Hallo, weet iemand of je op de Synology NAS met gebruik van Let's encrypt certificaten specifiek port 80 open moet hebben voor certificaat renewals, of dat het ook via andere portnummers / manieren kan tegenwoordig?
-
Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet. Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen. Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.
Dit geldt ook voor DSM7.
-
Ah ja, nog geen verandering in dus. Wil wel graag gebruik blijven maken van de certificaten, maar eigenlijk niet meer mijn poort 80 open hebben staan voor het gehele (deels criminele) internet...
-
ff een vraag beetje off topic...
Zo'n certificaat, van let's encrypt is dus gratis omdat het voor iedereen beschikbaar moet zijn neem ik aan?
Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?
-
De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan. Hiervoor wordt een andere validatiemethode gebruikt.
-
Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?
Des te korter de geldigheid, des te veiliger. Er wordt nml. niet altijd goed gecontroleerd of een certificaat voortijdig ingetrokken is en blijft een ongeldig certificaat gebruikt worden tot hij ook vanwege de geldigheidsduur ongeldig wordt.
Bij een volledig automatisch proces kun je de geldigheid kort houden.
-
ok ik snap hem ....
"De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan."
Hoe haalt hij dat dan op? Hij kan dus als ik een DDNS naam heb dicht?
-
Voor details van dat mechanisme moet je bij Let's Encrypt kijken. Lees het volgende stuk bij DNS-01 Callenge (https://letsencrypt.org/docs/challenge-types/)
Grof komt het erop neer dan de nas een code in de dns server zet als bewijs dat hij dat domein beheert. Let's Encrypt hoeft dan niet bij de nas, maar kijkt of de code in de domeinnaam instelling aanwezig is.
Dit werkt echter alleen praktisch bij DNS servers waar je geautomatseerd de DNS instellingen kan aanpassen. Dat kan maar bij een klein aantal DNS servers en Synology heeft er voor gekozen dit niet universeel te implementeren, maar alleen bij hun eigen DNS server, waar ze zelf de controle over hebben.
-
@Briolet
Even zien of ik dit nu goed snap, in mijn geval heb ik als host naam: naam.synology.me
Dat loopt dan dus via de dns server van synology, ik had dus bij het aanmaken daarvan ook voor andere partijen kunnen kiezen.
In dit geval heb ik dat dus niet gedaan, en dus hoeft poort 80 niet geforward te worden?
Certificaat vernieuwen gaat dan verder automatisch?
-
Correct, voor naam.synology.me hoeft poort 80 niet open te staan naar de NAS.
Kun je zo testen door het certificaat te vernieuwen vanuit DSM.
-
dank beide... heb gelijk poort 80 dicht geklapt... ga ik straks even testen.
-
Ik los dit altijd op door handmatig het certificaat bij te werken.
Bij mij staat poortje 80 standaard nl ook dicht.
Ik krijg altijd netjes enkele weken voor het verlopen van het certificaat een emailtje als herinnering.
Ik zet dan 80 even open, voor de update uit en sluit 80 direct weer af.
Dat alles duurt nog geen 2 minuten.
Dat risico durf ik wel te nemen ;-)
Peter
-
@pvkan dat is inderdaad ook een optie, thanks. ga ik het ook zo doen zolang er geen andere weg is.
-
Of je koopt een certificaat voor een paar euro en bent er voor twee of drie jaar klaar mee. :P
-
Een certificaat kopen of Let's Encrypt gebruiken heeft eigenlijk alleen zin als je de nas externe toegang geeft aan derden.
Gebruik je hem alleen intern of extern zelf, dan kun je net zo goed een self-signed certificaat gebruiken en dit in je browser of OS opslaan.
-
Vind het wel zo fijn niet steeds die certificaat waarschuwing te krijgen voor als ik services op mijn nas gebruik en van browser wissel of van PC. e.d. . Ook diensten die ik op de nas draai (bijv. wachtwoord manager) werken via reverse proxy ook via zo'n let's encrypt certificaat.
@Hofstede naar mijn idee zijn ssl certificaten wel wat duurder dan paar euro per jaar ?
-
Ik heb laatst voor iemand een certificaat aangeschaft voor zijn NAS. Voor een enkel domein. Kosten EUR 32,-- voor een certificaat dat 5 jaar geldig blijft.
-
Voor een browser mag een certificaat maar 13 maand geldig zijn. Als je er een voor 5 jaar koopt, krijg je waarschijnlijk het recht om er de volgende 4 jaar 1 'gratis' op te halen en zult toch elk jaar weer een nieuwe moeten installeren. Het is echt niet zo dat je er dan 5 jaar vanaf bent.
-
Vind het wel zo fijn niet steeds die certificaat waarschuwing te krijgen voor als ik services op mijn nas gebruik en van browser wissel of van PC. e.d.
Die waarschuwingen krijg je ook niet bij een self-signed certificaat. Tenminste als je het certificaat aan je OS of browser toevoegt. Ik heb nog een self-signed root certificaat op de nas staan met een geldigheid van 10 jaar. (Bij een root mag dat nog steeds). Die staat ook op al mijn PC's.
Als ik dan een nieuw certificaat voor mijn router nodig heb, dan maak ik een CSR op de router, signeer dit met de root op de nas en plaats hem vervolgens in de router. Mijn PC's klagen hier niet over omdat hij met de root gesigneerd is die al op mijn PC staat.
Jammer genoeg heeft Synology besloten om ook de root certificaten een geldigheid te geven van 12 maand. Ik had hierover direct een ticket ingediend, dat alleen de usercertificaten niet langer dan 13 maand geldig mogen zijn. Maar die hele helpdesk is ondeskundig en negeert dit soort tickets. (Is ook extra programmeerwerk voor de layout in DSM omdat je nu in de GUI geen verschil te zien krijgt tussen het user en root certificaat, terwijl er wel steeds twee aangemaakt worden)