Warum braucht Lets Encrypt offene Ports?

[polyphase]

Ich weiß nicht ob diese Frage schon mal gefragt wurde, ich hab nix gefunden.

Warum braucht Lets Encrypt offene Ports?
Ich würde gerne Lets Encrypt Zertifikate für bestimmte Applikationen/Services (im Heimnetz) nutzen, verstehe aber nicht warum dafür Port 80 und 443 unbedingt offen sein müssen.

Widerspricht doch wieder der erhöhten Sicherheit durch Lets Encrypt Zertifikate, oder?

Eine Allgemeine Erklärung, einigermaßen Verständlich würde mir schon reichen.
Das Netz ist leider wenig hilfreich, oder ich zu blöd 😅

 

[Mickey Mouse]

ACME

 

[chr1zZo]

Nun ja, das sind HTTP und HTTPS Ports. Ohne die kann ja nicht im Browser kommuniziert werden, und daher auch nicht mit dem Zertifikat, wenn man nichts abrufen kann.

 

[kieleich]

Du musst irgend wie nach weisen können, daß dir die Domain, tatsächlich gehört.

Sonst könnte, jeder für jede Domain, gültige HTTPS Zertifikate erzeugen, und Man In The Middle spielen.

Der Nachweis, läuft bei der HTTP Challenge, eben über den Web Server, auf dem bestimmte Tickets, Tokens abgelegt werden und erst wenn das, nachweislich korrekt ablief, kommt das Zertifikat.

Im Heimnetz, musst du deswegen gar nichts öffnen, der Web Server kann, auf einer öffentlichen IP laufen zum Beispiel, ein kleiner vServer sein. Dann kannst du das Zertifikat nehmen, und im Heimnetz für etwas ganz anderes verwenden, sofern du, im Heimnetz den Domain Namen auf eine lokale IP um gedeutet bekommst.

Ansonsten, gibt es auch noch die DNS Challenge da bleibt der Web Server außen vor, aber du musst Tokens ins DNS, ablegen können

 

[leipziger1979]

Die Zertifikate installiert man doch lokal bei der Anwendung, normalerweise eine Website.
Warum soll man da Ports öffnen?

 

[eigs]

Unter https://letsencrypt.org/de/docs/challenge-types/ findest du die Erklärung.

 

[polyphase]

Danke für super schnelle Antworten!

@kieleich Super verständliche Erklärung!

Jetzt hab ich es endlich verstanden, lag wirklich an mir. Stand da irgendwie auf dem Schlauch 😅

D.h. ich könnte meine "ungenutze" Domain, die noch zusätzlich an meinem Webspace hängt dafür missbrauchen. Mein Hoster bietet Autocert für Lets Encrypt kostenlos an.

Ich müsste dann nur das Zertifikat in meine Applikation/Service (im Heimnetz) übertragen.
DNS umbiegen auf die IP ist kein Problem, da ich dafür das pihole nutzen kann.

Wunderbar, muss ich morgen gleich mal ausprobieren 👍

 

[mibbio]

Die Zertifikate installiert man doch lokal bei der Anwendung, normalerweise eine Website.
Warum soll man da Ports öffnen?

Die Zertifikate muss man aber auch erstmal irgendwie generieren und dabei nachweisen, dass einem die Domain auch gehört, für die man das Zertifikat erstellt. Der Nachweis läuft dann eben über einen Webserver von dir, der auf Port 80 (HTTP) und Port 443 (HTTPS) von außen erreichbar sein muss.

D.h. ich könnte meine "ungenutze" Domain, die noch zusätzlich an meinem Webspace hängt dafür missbrauchen. Mein Hoster bietet Autocert für Lets Encrypt kostenlos an.

Das Zertifikat wird dann für genau die Domain ausgestellt und wird von Browsern auch nur für diese eine Domain als gültig betrachtet. Musst dann halt dafür sorgen, dass dein lokaler DNS Resolver (vom Pi-Hole) die Domain auf die IP im Netzwerk auflöst.

 

[madmax2010]

Ich würde gerne Lets Encrypt Zertifikate für bestimmte Applikationen/Services (im Heimnetz) nutzen, verstehe aber nicht warum dafür Port 80 und 443 unbedingt offen sein müssen.

nagut, dann mach halt eine interne CA auf. Deinem internen zeug vertraust du ja hoffentlich


Du kannst dir bei LE aber auch ein wildcard cert besorgen.

 

[polyphase]

Jetzt wird kompliziert 😅

 

[mibbio]

Self-Signed hat aber den zusätzlichen Aufwand, dass man das eigene Root-Zertifikat in allen Geräten hinterlegen muss, die auf die Domain zugreifen, damit die das Domain-Cert dann auch akzeptieren. Die Root CA von LetsEncrypt kennen halt alle aktuellen Betriebsysteme und Browser ab Werk.

 

[kieleich]

D.h. ich könnte meine "ungenutze" Domain, die noch zusätzlich an meinem Webspace hängt dafür missbrauchen. Mein Hoster bietet Autocert für Lets Encrypt kostenlos an.

Wobei viele Webhoster, zwar Lets Encrypt Zertifikate für dich machen, aber jedoch, ohne dir Zugriff auf das Zertifikat an sich zu geben.

 

[polyphase]

Da hab ich Glück, ich kann das bei meinem Hoster in Config Panel einsehen.

Habe vollen Zugriff drauf 👍

 

[#Janni]

Man kann SSL Certs auch per DNS Challenge ohne offne Ports ausstellen lassen. Sehr angenehm zb mit acme.sh

 

[kamanu]

Kann auch nur die Variante via DNS-Challenge empfehlen. Wenn DNS bei Cloudflare (oder einigen anderen Diensten) liegt geht das alles vollautomatisch ohne irgendeinen Port aufmachen zu müssen.

 

[kachiri]

Warum für lokale Anwendungen, die lediglich im eigenen Heimnetzwerk erreichbar sind, überhaupt Lets Encrypt?

Da steckt doch der Hase begraben. Natürlich geht es bei der Zertifizierung auch um Verifizierung. Aber vor allem geht es doch darum, dass die Zertifikate für Webserver sind und man eben nicht lokale Netzwerke zertifiziert.

 

[polyphase]

Es gibt Anwendungen die eine gültiges Zertifikat benötigen, auch wenn diese nur Lokal laufen.

Bzw. die Apps die sich damit verbinden, verweigern Ihre Verbindung zum "Server" wenn dieser kein gültiges Zertifikat hat.

 

[kieleich]

HTTPS, wird eben zum Standard. Ist es nur HTTP, gibt es schon, Warnungen im Browser.

Somit braucht man auch bei lokalen Namen, das HTTPS und das ist auch mit Lets Encrypt, durch aus möglich.

Nur an der Challenge, kommt man eben nicht vorbei, also der Teil muss öffentlich sein, egal ob per HTTP oder DNS oder. Aber alles andere, geht dann intern.

Mit Zertifikat ohne Nachweis wäre HTTPS kaputt. Sicherheit, ist kompliziert.

 

[polyphase]

So, habs mal testweise auf meiner DS installiert, das Zertifikat und den DNS Eintrag im pihole umgeleitet.
Funktioniert wunderbar!

 

[Bodennebel]

Für selbstsignierte Zertifikate kannst Du dich ja mal hier durcharbeiten: https://stackoverflow.com/questions...e-a-self-signed-ssl-certificate-using-openssl. Dann musst Du auch nicht alle 90 Tage das Zertifikat erneuern. Nachteil ist natürlich, dass Du diese dann in die jeweiligen lokalen Zertifikatsspeicher importieren musst.

Ergänzung (29. Dezember 2021)

Hast Du es jetzt über Let's Encrypt oder über self-signed certificates gelöst?