Let’s Encrypt bietet eine freie und automatisierte Möglichkeit kostenlose Zertifikate für DynDNS-Adressen zu erhalten. Diese Anleitung zeigt wie es mit dem eigenen NAS klappt.
Der Fernzugriff auf Mobilgeräten sollte stets über eine verschlüsselte Verbindung ablaufen.
Wer öfter per Fernzugriff auf sein NAS oder andere Geräte im Heimnetzwerk, auch ohne VPN-Verbindung, zugreifen will, sollte auf jeden Fall zur SSL Verschlüsselung greifen. Und somit wird er auch ein gültiges und von einer anerkannten Zertifizierungsstelle signiertes Zertifikat benötigen, um einerseits die Browser-Sicherheitsmeldung los zu werden, oder um beispielsweise WebDAV unter Windows überhaupt erst nutzen zu können.
Bisher gab es hier nicht viele Möglichkeiten, um ein kostenloses Zertifikat für seine eigene Dynamische Domain-Adresse zu erhalten. Eine Möglichkeit davon war das kostenlose Zertifikat von StartSSL. Durch den Streit zwischen StartSSL und den großen Browser-Anbietern verlieren aber so ausgestellte Zertifikate vorerst ab Januar 2017 ihren Vertrauensstatus. Daher sollte man sich schon frühzeitig nach Alternativen umsehen.
Die freie Alternative Let’s Encrypt
Und genau hier kommt Let’s Encrypt ins Spiel. Die von Mozilla, der Electronic Frontier Foundation und der University of Michigan gegründete Zertifizierungsstelle bietet eine kostenlose, unkomplizierte und automatisierte Möglichkeit an, von allen gängigen Browsern unterstützte Zertifikate zu erhalten.
Die Voraussetzungen
Voraussetzung für ein solches Zertifikat ist eine eigene DynDNS Adresse sowie entweder ein Endgerät, welches Let’s Encrypt unterstützt, oder einen Anbieter, der diesen Dienst direkt über das Kundenmenü anbietet. Eine Übersicht, welche Anbieter mit Let’s Encrypt zusammenarbeiten, findet sich hier.
Außerdem ist es – im Fall der Automatisierung via eines Endgeräts – notwendig, dass im Router eine Portweiterleitung von Port 80 auf das entsprechende Gerät eingestellt wird. Wie dies eingerichtet wird, findet sich im Handbuch des jeweiligen Routers. Bei einer AVM Fritz!Box zeigt beispielsweise dieser Artikel wie eine Portfreigabe einzurichten ist.
Beantragung und Einrichtung eines Zertifikats
Durch die Automatisierung der Zertifizierung ist es in einigen wenigen Schritten möglich, ein solches Zertifikat zu importieren. Hier wird am konkreten Beispiel der Vorgang an einem Synology NAS demonstriert. Geräte anderer Hersteller, wie etwa von ASUStor bieten die gleichen Funktionen an, der Vorgang unterscheidet sich nur geringfügig. Wie man die entsprechende Funktion am eigenen Gerät erreicht, findet sich im Handbuch oder der Online-Hilfe zum jeweiligen Modell.
Zuerst loggen wir uns mit dem Admin Konto ins DSM ein.
In der Systemsteuerung unter Sicherheit und Zertifikate fügen wir ein neues Zertifikat hinzu.
Wir wählen den Import eines neuen Zertifikats.
Als Quelle wählen wir den Abruf von Let’s Encrypt. Wer nur ein Zertifikat nutzt, legt dieses Zertifikat als Standard fest.
Nun fehlt nur noch die DynDNS Adresse, eine E-Mail zur Verwaltung und ggf. weitere Sub-Domains.
Nach dem Klick auf Übernehmen erscheint das erfolgreich ausgestellte Zertifikat in der Liste.
Ein großer Vorteil von Let’s Encrypt ist, dass – anders als beispielsweise bei StartSSL – auch DynDNS Adressen von Fremdanbietern unterstützt werden. Das heißt, es ist nicht mehr nötig, eine eigene Top-Level-Domain anzumieten.
Bei den Angaben zur DynDNS-Adresse sollte unbedingt darauf geachtet werden, dass die Schreibweise stimmt, sonst bricht der Vorgang mit einem Fehler ab. Auch weitere Sub-Domains bzw. Hosts (die unter „Betreff Alternativer Name“ einzutragen sind, getrennt durch ein Semikolon) sollten auch tatsächlich existieren, sonst kommt es ebenfalls zu Fehlern. Wer eine eigene Top-Level-Domain nutzt, sollte diese entsprechend mit und ohne www eintragen.
Und was ist nun der Unterschied?
Die großen Vorteile von Let’s Encrypt, gegenüber beispielsweise dem kostenlosen Zertifikat von StartSSL, sind die unkomplizierte und schnelle Beantragung eines Zertifikats und die Möglichkeit dies auch für die zahlreichen kostenfreien DynDNS-Anbieter einzurichten.
Der größte Vorteil ist jedoch auch der größte Nachteil. Denn ohne eine Automatisierung im Endgerät, ist man gezwungen, einen Anbieter, der Let’s Encrypt direkt unterstützt zu nutzen, oder das Zertifikat manuell zu installieren. Da Let’s Encrypt Zertifikate allerdings nur eine Laufzeit von drei Monaten haben, und diese Laufzeit in der Zukunft zudem noch weiter verkürzt werden soll, artet das recht schnell in Arbeit aus. Während die meisten Anbieter von NAS-Geräten, auch in den Consumer-Modellen, bereits die Let’s Encrypt Automatisierung unterstützen, sucht man dies gerade bei Router-Herstellern meist noch vergeblich. Es bleibt zu hoffen, dass die Anbieter hier bald nachziehen.
Let’s Encrypt auf der Fritz!Box
Seit Fritz!OS 7 bietet AVM für den eigenen DynDNS Dienst auch Let’s Encrypt Unterstützung.
AVM hat mittlerweile mit dem Fritz!OS 7 eine Funktion nachgereicht, die es gestattet, für den Router ebenfalls automatisch ein Let’s Encrypt Zertifikat ausstellen zu lassen. Bisher gilt die Funktion nur für das von AVM selbst angebotene MyFritz! Konto und somit DynDNS-Adressen der Form *.myfritz.net. Ob und wann AVM die Funktion auch für DynDNS Adressen anderer Anbieter angeboten bzw. eingebaut wird, ist bisher nicht bekannt. Um die Funktion einzuschalten, setzt man in den Fritz!Box Einstellungen unter Internet, MyFritz!-Konto den Haken bei „Zertifikat von letsencrypt.org verwenden“. Nach dem Abspeichern der Einstellungen gibt ein grüner Punkt darunter Auskunft darüber, ob erfolgreich ein Let’s Encrypt Zertifikat erstellt wurde.
Über den Autor
Severin „Maverick“ Lochinger beschäftigt sich in seiner Freizeit intensiv mit Technik, verschlingt Fantasy Romane, ist ein riesiger Film-Fan und kann ohne Musik und sein HiFi Equipment nicht leben. Im Berufsleben ist er Grafik-/Web-Designer und Front-End-Entwickler.
SSL Zertifikat für die eigene DynDNS Domain Wer auf sein Heimnetzwerk via DynDNS zugreifen will, hat häufig mit SSL Zertifikatswarnungen zu kämpfen. Diese Anleitung zeigt, wie man ein kostenloses Zertifikat erstellt und in Router und NAS importiert.
Langzeittest des MSI Z170A Gaming Pro Carbon Mainboards gibt es wie Sand am Meer. Um aus der Masse herauszustechen, versuchen die Hersteller mit immer neuen Funktionen zu locken. MSI hat dem Z170A Gaming Pro Carbon jede Menge Software und RGB-Beleuchtung spendiert. Doch hält das Board, was es verspricht?
AMD Grafikkarten: Eine kleine FAQ-Sammlung Zum Thema AMD Grafikkarten tauchen immer wieder Fragen auf. Diese kleine FAQ-Sammlung soll einige der häufigsten gestellten Fragen zu Hardware und Treiber klären.
Let’s Encrypt ist ja noch recht jung und es dauert halt ein wenig, bis es die entsprechende Aufmerksamkeit von Dienstleistern, Soft- und Hardware-Herstellern bekommt. Bin zuversichtlich, dass sich da in den nächsten Jahren noch einiges tun wird, prinzipiell kommt es ja ganz gut an.
Let’s Encrypt ist ja noch recht jung und es dauert halt ein wenig, bis es die entsprechende Aufmerksamkeit von Dienstleistern, Soft- und Hardware-Herstellern bekommt. Bin zuversichtlich, dass sich da in den nächsten Jahren noch einiges tun wird, prinzipiell kommt es ja ganz gut an.