Wer öfter per Fernzugriff auf sein NAS oder andere Geräte im Heimnetzwerk, auch ohne VPN-Verbindung, zugreifen will, sollte auf jeden Fall zur SSL Verschlüsselung greifen. Und somit wird er auch ein gültiges und von einer anerkannten Zertifizierungsstelle signiertes Zertifikat benötigen, um einerseits die Browser-Sicherheitsmeldung los zu werden, oder um beispielsweise WebDAV unter Windows überhaupt erst nutzen zu können.
Bisher gab es hier nicht viele Möglichkeiten, um ein kostenloses Zertifikat für seine eigene Dynamische Domain-Adresse zu erhalten. Eine Möglichkeit davon war das kostenlose Zertifikat von StartSSL. Durch den Streit zwischen StartSSL und den großen Browser-Anbietern verlieren aber so ausgestellte Zertifikate vorerst ab Januar 2017 ihren Vertrauensstatus. Daher sollte man sich schon frühzeitig nach Alternativen umsehen.
Die freie Alternative Let’s Encrypt
Und genau hier kommt Let’s Encrypt ins Spiel. Die von Mozilla, der Electronic Frontier Foundation und der University of Michigan gegründete Zertifizierungsstelle bietet eine kostenlose, unkomplizierte und automatisierte Möglichkeit an, von allen gängigen Browsern unterstützte Zertifikate zu erhalten.
Die Voraussetzungen
Voraussetzung für ein solches Zertifikat ist eine eigene DynDNS Adresse sowie entweder ein Endgerät, welches Let’s Encrypt unterstützt, oder einen Anbieter, der diesen Dienst direkt über das Kundenmenü anbietet. Eine Übersicht, welche Anbieter mit Let’s Encrypt zusammenarbeiten, findet sich hier.
Außerdem ist es – im Fall der Automatisierung via eines Endgeräts – notwendig, dass im Router eine Portweiterleitung von Port 80 auf das entsprechende Gerät eingestellt wird. Wie dies eingerichtet wird, findet sich im Handbuch des jeweiligen Routers. Bei einer AVM Fritz!Box zeigt beispielsweise dieser Artikel wie eine Portfreigabe einzurichten ist.
Beantragung und Einrichtung eines Zertifikats
Durch die Automatisierung der Zertifizierung ist es in einigen wenigen Schritten möglich, ein solches Zertifikat zu importieren. Hier wird am konkreten Beispiel der Vorgang an einem Synology NAS demonstriert. Geräte anderer Hersteller, wie etwa von ASUStor bieten die gleichen Funktionen an, der Vorgang unterscheidet sich nur geringfügig. Wie man die entsprechende Funktion am eigenen Gerät erreicht, findet sich im Handbuch oder der Online-Hilfe zum jeweiligen Modell.
Ein großer Vorteil von Let’s Encrypt ist, dass – anders als beispielsweise bei StartSSL – auch DynDNS Adressen von Fremdanbietern unterstützt werden. Das heißt, es ist nicht mehr nötig, eine eigene Top-Level-Domain anzumieten.
Bei den Angaben zur DynDNS-Adresse sollte unbedingt darauf geachtet werden, dass die Schreibweise stimmt, sonst bricht der Vorgang mit einem Fehler ab. Auch weitere Sub-Domains bzw. Hosts (die unter „Betreff Alternativer Name“ einzutragen sind, getrennt durch ein Semikolon) sollten auch tatsächlich existieren, sonst kommt es ebenfalls zu Fehlern. Wer eine eigene Top-Level-Domain nutzt, sollte diese entsprechend mit und ohne www eintragen.
Und was ist nun der Unterschied?
Die großen Vorteile von Let’s Encrypt, gegenüber beispielsweise dem kostenlosen Zertifikat von StartSSL, sind die unkomplizierte und schnelle Beantragung eines Zertifikats und die Möglichkeit dies auch für die zahlreichen kostenfreien DynDNS-Anbieter einzurichten.
Der größte Vorteil ist jedoch auch der größte Nachteil. Denn ohne eine Automatisierung im Endgerät, ist man gezwungen, einen Anbieter, der Let’s Encrypt direkt unterstützt zu nutzen, oder das Zertifikat manuell zu installieren. Da Let’s Encrypt Zertifikate allerdings nur eine Laufzeit von drei Monaten haben, und diese Laufzeit in der Zukunft zudem noch weiter verkürzt werden soll, artet das recht schnell in Arbeit aus. Während die meisten Anbieter von NAS-Geräten, auch in den Consumer-Modellen, bereits die Let’s Encrypt Automatisierung unterstützen, sucht man dies gerade bei Router-Herstellern meist noch vergeblich. Es bleibt zu hoffen, dass die Anbieter hier bald nachziehen.
Let’s Encrypt auf der Fritz!Box
AVM hat mittlerweile mit dem Fritz!OS 7 eine Funktion nachgereicht, die es gestattet, für den Router ebenfalls automatisch ein Let’s Encrypt Zertifikat ausstellen zu lassen. Bisher gilt die Funktion nur für das von AVM selbst angebotene MyFritz! Konto und somit DynDNS-Adressen der Form *.myfritz.net. Ob und wann AVM die Funktion auch für DynDNS Adressen anderer Anbieter angeboten bzw. eingebaut wird, ist bisher nicht bekannt. Um die Funktion einzuschalten, setzt man in den Fritz!Box Einstellungen unter Internet, MyFritz!-Konto den Haken bei „Zertifikat von letsencrypt.org verwenden“. Nach dem Abspeichern der Einstellungen gibt ein grüner Punkt darunter Auskunft darüber, ob erfolgreich ein Let’s Encrypt Zertifikat erstellt wurde.
Kommentar verfassen