Let’s Encrypt Anleitung
-
Hallo,
da der neue Host nun wieder die automatische Let’s Encrypt Zertifikataktualisierung unterstützt wollte ich mich auch mal dem Thema widmen. HTTPS habe ich bereits mit Default Zertifikaten am Laufen.
Gibt es eine gute Anleitung zur Einrichtung von Let’s Encrypt im ioBroker? -
@rushmed Soweit ich das beurteilen kann, ist die aktuelle Doku noch korrekt:
https://www.iobroker.net/docu/index-234.htm?page_id=6227&lang=de#Let8217s_EncryptWenn dabei etwas nicht klar ist, einfach hier nachfragen. Dann können wir wenn nötig auch die Doku aktualisieren.
-
@unclesam said in Let’s Encrypt Anleitung:
ist die aktuelle Doku noch korrekt:
Cave!
Ich bin der Meinung, dass nur User, die genau wissen, wie man mit let's encrypt umgeht, dieses auch nutzen sollen.
Zumindest bei Zugriff von außen.Eine solche Anleitung, die nicht korrekt umgesetzt wird, kann sonst sehr schnell zu einem Sicherheitsrisiko für das gesamte Heimnetz werden
-
-
@rushmed Wie @Homoran gesagt hat: LE macht but Sinn, wenn du alles im Griff hast.
Du musst nirgends einen Account erstellen. In der Anleitung steht:
Dieses klingt komplex, aber alles was man machen muss ist ein paar Checkboxen zu aktivieren und die eMail-Adresse und die Web-Adresse in den Systemeinstellungen einzutragen.
-
@homoran said in Let’s Encrypt Anleitung:
Ich bin der Meinung, dass nur User, die genau wissen, wie man mit let's encrypt umgeht, dieses auch nutzen sollen.
Zumindest bei Zugriff von außen.Ich dachte aber immer, dass die WPA2 Verschlüsselung recht einfach zu knacken sei und daher SSL dringend angeraten ist. Zumal man dann auch nicht die lästigen Fehlermeldungen im Browser erhält.
Kann man Let's encrypt überhaupt nutzen, wenn man keine externe Domain verwendet?
-
@markus84 said in Let’s Encrypt Anleitung:
Ich dachte aber immer, dass die WPA2 Verschlüsselung recht einfach zu knacken sei und daher SSL dringend angeraten ist. Zumal man dann auch nicht die lästigen Fehlermeldungen im Browser erhält.
WPA ja, WPA2 ist schon viel schwieriger. Und wenn du dir Sorgen machst, dass jemand in dein WLAN rein kommt, dann würde ich noch ganz andere Sachen absichern (VLAN, MAC Filter, keine ungesicherten IoT Protokolle verwenden, ...).
Kann man Let's encrypt überhaupt nutzen, wenn man keine externe Domain verwendet?
Nein. Im Gegenteil: der Server muss sogar von aussen zugänglich sein (solange man es nicht über DNS macht, was aber ioBroker nicht unterstützt).
-
@unclesam said in Let’s Encrypt Anleitung:
dann würde ich noch ganz andere Sachen absichern (VLAN, MAC Filter, keine ungesicherten IoT Protokolle verwenden, ...).
VLAN nutze ich, MAC Filter nutze ich bisher nicht, da das doch sehr aufwändig ist und der Nutzen wohl auch eher fraglich ist, oder? Was meinst du denn mit ungesicherten IOT Protokollen? Ich mache mir ehrlich gesagt keine übermäßigen Sorgen, da ich (hoffentlich) 10x besser abgesichert bin als die Nachbarn, aber ich suche natürlich immer nach praktikablen Lösungen, um die Sicherheit noch zu verbessern...
-
@markus84 said in Let’s Encrypt Anleitung:
MAC Filter nutze ich bisher nicht, da das doch sehr aufwändig ist
IMHO nicht wirklich.
@markus84 said in Let’s Encrypt Anleitung:
der Nutzen wohl auch eher fraglich ist
klar kann man auch MAC-Adressen klonen
@markus84 said in Let’s Encrypt Anleitung:
nach praktikablen Lösungen, um die Sicherheit noch zu verbessern..
oder ein Scheunentor in der Stahlbetonmauer zu öffnen
-
@homoran said in Let’s Encrypt Anleitung:
MAC Filter nutze ich bisher nicht, da das doch sehr aufwändig ist
IMHO nicht wirklich.
Markus84 said in Let’s Encrypt Anleitung:der Nutzen wohl auch eher fraglich ist
klar kann man auch MAC-Adressen klonen
Okay, dann werde ich mir die MAC-Adressen-Filterung nochmal näher anschauen.
Was meinst du denn mit:
@homoran said in Let’s Encrypt Anleitung:
ein Scheunentor in der Stahlbetonmauer zu öffnen
-
@markus84 said in Let’s Encrypt Anleitung:
Was meinst du denn mit:
Den Worst case!
Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht
-
@homoran said in Let’s Encrypt Anleitung:
Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht
Also besser nicht zu viel "basteln", um nicht versehentlich das Scheunentor aufzumachen. Verstanden.
-
@markus84
Genau!Sicherheitseinstellungen sollte man nur dann selber modifizieren wenn man ganz genau weiß was man tut
-
Ok, habe mich jetzt dazu entschlossen auf LE zu verzichten
-
Ich habe die doku genau verfolgt und bekomme es einfach nicht auf die Reihe. Ich möchte den Simpl Api adapter per ssl verschlüsseln doch weder über die Einstellungen als auch über den certbot kann ich das Zertifikat für den Port 8087 freigeben. Was mache ich falsch? lg
-
@fabian-mayer sagte in Let’s Encrypt Anleitung:
Port 8087 freigeben
Das ist der Fehler. Es geht nur Port 443 mit Let's Encrypt.
-
@unclesam okay, danke erstmal. Habich auch schon versuch! kommt dann dass Port 443 schon belegt ist oder so in der art.
Heißt also man kann nur eine Anwendung über Let's encrypt absichern? Habe ich das richtig verstanden?
Ich werde den Pi nochmals mit einer SSD festplatte frisch aufsetzen um ev. Externe Fehler zu entfernen. Dann sollte ich so vorgehen:
SSL Daten im IoBroker hinterlegen -> port von der API auf 443 setzen. Port 80 von der domain auf port 80 vom pi und port 443 auf port 443 vom PI - fertig
Stimmt das so?
-
@fabian-mayer Jawohl, richtig.
-
@unclesam thx hat geklappt. Schade, dass nur ein adapter versorgt werden kann.. gibts da andre lösungen dafür? Bzw ist das was geplant?
-
@fabian-mayer Von ioBroker gibt es keine Lösung. Normalerweise macht man ja Let's Encrypt auch nicht im lokalen Netzwerk sondern gegen aussen. Dort würde ich einen HTTPS Reverse Proxy empfehlen, der aufgrund des Host Names dann das richtige Gerät dahinter anspricht. Der letzte Teil dieser Verbindung ist dann natürlich nicht mit LE "verschlüsselt", aber du kannst ja (wenn es sein muss) ein selbstsigniertes Zertifikat verwenden oder sogar deine eigene CA benutzen.
Wenn du eine Synology hast, dann wird ein solcher Reverse Proxy von Haus aus angeboten: https://mikesolin.com/2020/07/07/setting-up-synologys-reverse-proxy-server/
Ich verwende HAProxy um sowas aufzusetzen - mit nginx geht es aber auch.
