SSL Zertifikat von Let’s Encrypt für das eigene NAS

Holzpfahl mit verrostetem Schloss und Kette
Laptop mit Notizblock und Glas Wasser
Der Fernzugriff auf Mobilgeräten sollte stets über eine verschlüsselte Verbindung ablaufen.

Wer öfter per Fernzugriff auf sein NAS oder andere Geräte im Heimnetzwerk, auch ohne VPN-Verbindung, zugreifen will, sollte auf jeden Fall zur SSL Verschlüsselung greifen. Und somit wird er auch ein gültiges und von einer anerkannten Zertifizierungsstelle signiertes Zertifikat benötigen, um einerseits die Browser-Sicherheitsmeldung los zu werden, oder um beispielsweise WebDAV unter Windows überhaupt erst nutzen zu können.

Bisher gab es hier nicht viele Möglichkeiten, um ein kostenloses Zertifikat für seine eigene Dynamische Domain-Adresse zu erhalten. Eine Möglichkeit davon war das kostenlose Zertifikat von StartSSL. Durch den Streit zwischen StartSSL und den großen Browser-Anbietern verlieren aber so ausgestellte Zertifikate vorerst ab Januar 2017 ihren Vertrauensstatus. Daher sollte man sich schon frühzeitig nach Alternativen umsehen.

Die freie Alternative Let’s Encrypt

Und genau hier kommt Let’s Encrypt ins Spiel. Die von Mozilla, der Electronic Frontier Foundation und der University of Michigan gegründete Zertifizierungsstelle bietet eine kostenlose, unkomplizierte und automatisierte Möglichkeit an, von allen gängigen Browsern unterstützte Zertifikate zu erhalten.

Die Voraussetzungen

Voraussetzung für ein solches Zertifikat ist eine eigene DynDNS Adresse sowie entweder ein Endgerät, welches Let’s Encrypt unterstützt, oder einen Anbieter, der diesen Dienst direkt über das Kundenmenü anbietet. Eine Übersicht, welche Anbieter mit Let’s Encrypt zusammenarbeiten, findet sich hier.

Außerdem ist es – im Fall der Automatisierung via eines Endgeräts – notwendig, dass im Router eine Portweiterleitung von Port 80 auf das entsprechende Gerät eingestellt wird. Wie dies eingerichtet wird, findet sich im Handbuch des jeweiligen Routers. Bei einer AVM Fritz!Box zeigt beispielsweise dieser Artikel wie eine Portfreigabe einzurichten ist.

Beantragung und Einrichtung eines Zertifikats

Durch die Automatisierung der Zertifizierung ist es in einigen wenigen Schritten möglich, ein solches Zertifikat zu importieren. Hier wird am konkreten Beispiel der Vorgang an einem Synology NAS demonstriert. Geräte anderer Hersteller, wie etwa von ASUStor bieten die gleichen Funktionen an, der Vorgang unterscheidet sich nur geringfügig. Wie man die entsprechende Funktion am eigenen Gerät erreicht, findet sich im Handbuch oder der Online-Hilfe zum jeweiligen Modell.

Diese Diashow benötigt JavaScript.

Ein großer Vorteil von Let’s Encrypt ist, dass – anders als beispielsweise bei StartSSL – auch DynDNS Adressen von Fremdanbietern unterstützt werden. Das heißt, es ist nicht mehr nötig, eine eigene Top-Level-Domain anzumieten.

Bei den Angaben zur DynDNS-Adresse sollte unbedingt darauf geachtet werden, dass die Schreibweise stimmt, sonst bricht der Vorgang mit einem Fehler ab. Auch weitere Sub-Domains bzw. Hosts (die unter „Betreff Alternativer Name“ einzutragen sind, getrennt durch ein Semikolon) sollten auch tatsächlich existieren, sonst kommt es ebenfalls zu Fehlern. Wer eine eigene Top-Level-Domain nutzt, sollte diese entsprechend mit und ohne www eintragen.

Und was ist nun der Unterschied?

Die großen Vorteile von Let’s Encrypt, gegenüber beispielsweise dem kostenlosen Zertifikat von StartSSL, sind die unkomplizierte und schnelle Beantragung eines Zertifikats und die Möglichkeit dies auch für die zahlreichen kostenfreien DynDNS-Anbieter einzurichten.

Der größte Vorteil ist jedoch auch der größte Nachteil. Denn ohne eine Automatisierung im Endgerät, ist man gezwungen, einen Anbieter, der Let’s Encrypt direkt unterstützt zu nutzen, oder das Zertifikat manuell zu installieren. Da Let’s Encrypt Zertifikate allerdings nur eine Laufzeit von drei Monaten haben, und diese Laufzeit in der Zukunft zudem noch weiter verkürzt werden soll, artet das recht schnell in Arbeit aus. Während die meisten Anbieter von NAS-Geräten, auch in den Consumer-Modellen, bereits die Let’s Encrypt Automatisierung unterstützen, sucht man dies gerade bei Router-Herstellern meist noch vergeblich. Es bleibt zu hoffen, dass die Anbieter hier bald nachziehen.

Ähnliche Beiträge

1 Gedanke zu „SSL Zertifikat von Let’s Encrypt für das eigene NAS

  1. Let’s Encrypt ist ja noch recht jung und es dauert halt ein wenig, bis es die entsprechende Aufmerksamkeit von Dienstleistern, Soft- und Hardware-Herstellern bekommt. Bin zuversichtlich, dass sich da in den nächsten Jahren noch einiges tun wird, prinzipiell kommt es ja ganz gut an.

Kommentar verfassen