DynDNS

[thobie]

Moin, Hutzi,

ich habe nun versuchsweise die FTP-Software gestoppt und ausgeschaltet. Dann habe ich den Ordner "well-known" gelöscht und neu erstellt. Dann die Software wieder geöffnet und den Server gestartet. Somit sollte er well-known-Support bieten.

Dann habe ich die CertBot-Aktion im Terminal nochmals durchgeführt.

Ich erhalte wieder die Fehlermeldung:

IMPORTANT NOTES:
- The following errors were reported by the server:

   Domain: server.kreativ-schmie.de
   Type:   unauthorized
   Detail: Invalid response from
   http://server.kreativ-schmie.de/Login?/.well-known/acme-challenge/hyBB17RnUKtU_UglZkLRzNHuIJH5BHoS1QMvnXKOsTg
   [77.0.128.145]: "<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0
   Strict//EN\"
   \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">\n<html>\n<head>\n<sty"

   To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.

Wie Du schreibst, kann er die Überprüfung nicht beenden.

Wie verfahre ich nun, um doch noch ein Zertifikat zu erhalten?

Bleibt gesund!

Grüße aus Hamburg

Thobie

 

[hutzi20]

Laut changelog von Rumpus wurde die well-known Unterstützung erst in Version 8 implementiert.

Dein aktuelles Problem ist dass der Rumpus Webserver jeden Zugriff auf den Login? Pfad umleitet. Da ich Rumpus und den dahinterstehenden Webserver nicht kenne kann ich dir damit leider nicht weiter helfen. Aber vielleicht kann dir der Support weiter helfen.

 

[Difool]

Ich erhalte wieder die Fehlermeldung:

IMPORTANT NOTES:
- The following errors were reported by the server:

   Domain: server.kreativ-schmie.de
   Type:   unauthorized
   Detail: Invalid response from
   http://server.kreativ-schmie.de/Login?/.well-known/acme-challenge/hyBB17RnUKtU_UglZkLRzNHuIJH5BHoS1QMvnXKOsTg
   [77.0.128.145]: "<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0
   Strict//EN\"
   \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">\n<html>\n<head>\n<sty"

   To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.

Und zusätzlich mal so ins Blaue: http://server.kreativ-schmie.de/Login?/ > https ?

 

[thobie]

Moin, Difool,

ein SSL-Zertifikat für die Subdomain?

Das braucht bei meinem Hoster ein zusätzliches Wildcard-SSL-Zertifikat für Subdomains und ist kostenpflichtig. Außerdem sichert es laut Auskunft des Hosters nur die Subdomain, nicht die externe Weiterleitung per DynDNS auf meinen Mac.

Oder sollte ich einmal bei CertBot im Terminal bei der Frage nach der Domain des Servers nicht server.kreativ-schmie.de, sondern mit vorgestelltem „http://“ angeben?

Thobie

 

[thobie]

Laut changelog von Rumpus wurde die well-known Unterstützung erst in Version 8 implementiert.

Dein aktuelles Problem ist dass der Rumpus Webserver jeden Zugriff auf den Login? Pfad umleitet. Da ich Rumpus und den dahinterstehenden Webserver nicht kenne kann ich dir damit leider nicht weiter helfen. Aber vielleicht kann dir der Support weiter helfen.

Moin, Hutzi,

tja, John von Rumpus will seine neue Version 9 von Rumpus Server verkaufen und bietet mir daher nur Support für Let‘s encrypt für die Version 9. Nicht jedoch für die Version 7.2.2, die – wie schon erwähnt– gekauft und validiert ist und bis auf das fehlende SSL-Zertifikat voll funktionsfähig ist.

Thobie

 

[lisanet]

tja, dann kriegst du mit deiner Version von Rumpus das mit dem certbot halt nicht zum Laufen. Kannst du nun glauben oder nicht, wird aber nichts daran ändern, dass es nicht geht.

Es ist wirklich faszinierend zu beobachten, wie hartnäckig du Dinge versuchst, zu denen andere dir erklären, warum es nicht geht und dass es nicht geht.

 

[baremac]

Hallo Thobie,

neue Versionen einer Software bieten meist neue Features oder Unterstützung für aktuelle Protokolle / Schnittstellen.
Was spricht dagegen, eine aktuelle Version 9 einzusetzen, wenn diese Dir evtl. die geforderten und adäquaten Möglichkeiten bietet?

Siehe:
https://www.maxum.com/Rumpus/Version90.html

Man kann sich auch das Leben schwer machen. Ganz abgesehen davon, dass in Hamburg möglicherweise ein Mac im Netz hängt, der evtl. irgendwann möglicherweise nicht mehr nur alleine von seinem Eigentümer alleine betrieben werden wird.

Irgendwann muss / sollte man einen monetären Aufwand betreiben, um Dienste sicher anbieten zu können.

 

[thobie]

Moin, Baremac,

neue Versionen einer Software bieten meist neue Features oder Unterstützung für aktuelle Protokolle / Schnittstellen.
Was spricht dagegen, eine aktuelle Version 9 einzusetzen, wenn diese Dir evtl. die geforderten und adäquaten Möglichkeiten bietet?

nichts, außer dass ich eine bis auf das Zertifikat voll funktionsfähige Server-Software habe. Und ein Upgrade mich 160 $ kostet.

Irgendwann muss / sollte man einen monetären Aufwand betreiben, um Dienste sicher zu betreiben.

Ja, aber nicht, wenn man gerade Investitionen in einen neuen Mac, Monitor, Festplatte, Tastaturen, Mäuse und Software getätigt hat, um produktiv arbeiten zu können. Irgendwann sind die finanziellen Ressourcen aufgebraucht. Man kann erst Geld ausgeben, wenn man es verdient hat.

Und da die alte, lizenzierte Version läuft, wieso upgraden …?

Thobie

 

[baremac]

Und da die alte, lizenzierte Version läuft, wieso upgraden …?

Hallo Thobie,

... weil die 160 gut investiert sind, gesicherte Zugriffe bieten und damit für Deine Kunden einen Mehrwert darstellen?
... weil die ganzen Stunden, die Du für die aktuelle "Bastelei" (nicht böse gemeint!) aufwendest, besser in aktuelle Grafikprojekte laufen können, wo Du Dich eher auf das eigentliche Tagesgeschäft (Dinge, wo das Geld verdient wird) konzentrieren kannst?

 

[thobie]

Moin, Baremac,

und das, obwohl diese ältere Version die Einbindung von Zertifikaten und https/ftps wie auf dem Screenshot anbietet?

Thobie

 

[lisanet]

Deine Softwareversion untersützt Zertifikate, aber eben nicht die automatisierte Erstellung via certbot über letsencrypt. Wenn man sich auskennt, kann man ja auch einen eigenen Webserver aufsetzen und auch von anderen Anbietern ein Zertifikat erwerben. Das könntest du dann in deine Software einbinden.

Ach ja, für SFTP benötigt man kein Zertifikat. Aber das weißt du ja schon.

 

[dg2rbf]

Hi,
tja, sowas nennt man auch, Sparen am falschen Ende.
Franz

 

[WollFuchs]

ein zusätzliches Wildcard-SSL-Zertifikat für Subdomains und ist kostenpflichtig. Außerdem sichert es laut Auskunft des Hosters nur die Subdomain, nicht die externe Weiterleitung per DynDNS auf meinen Mac

was er Dir damit eigentlich sagen wollte und Du nicht verstehst, ist die Zustaendigkeit.
Solange es auf seinem Webserver laeuft, den Du mietest, kann und wird er auch (zur Not gegen Geld) soviele SSL Zertifikate fuer Domain,
SubDomain, etc. ausstellen (lassen) wie Du magst.

Auf Deinem Mac bist Du der Betreiber und NUR DU kannst und sollst da Zertifikate anfordern. Die sind ja nicht fuer irgendwas auf dem
Webserver des Hosters sondern bei Dir. Das einzige, das noch beim Hoster laeuft, ist die Info, wo sich der gesuchte Space befindet.
Das ist der CNAME, der im DNS steht und die korrekte Weiterleitung verantwortet.

Die Challenge setzt ja voraus, dass Deine Karre sowohl Port 80 (http) als auch Port 443 (https) beantwortet und zwar mit dem gleichen
Ziel (Webspace) auf dem Mac.

Wenn man Deinen http://server.kreativ-schmie.de/Login? aufrufen kann, die https://server.kreativ-schmie.de/Login? aber nicht, dann muss
es ja scheitern. Entweder Port 443 ist nicht auf dem Router auf das gleiche Ziel gebunden oder zeigt halt irgendwo anders hin. Oder, das
waere halt schon fast tragisch, Du hast der Software nicht gesagt, dass https (Secure) verwendet werden soll.

 

[thobie]

Moin, Wollfuchs,

Du hattest Recht, es war mein Fehler, der Port für https war nicht freigeben. Ich habe jetzt den Port für https und ftps im Router freigegeben.

In der Server-Software habe ich über "Create Certificate" – siehe Screenshot aus #70 – ein Zertifikat erstellt. Das erstellt die Software selbst. Das Zertifikat ist allerdings untrusted, ein trusted certificate müsste ich kostenpflichtig über einen Anbieter kaufen.

Aus diesem Grund fragt mich der Browser beim Aufrufen des Servers, ob ich dieser Site vertrauen und sie besuchen will. Akzeptiere ich dies, erscheint in der URL das https.

Außerdem habe ich dann auch FTPS aktiviert.

Somit geht das Ganze auch ohne Let's Encrypt.

Ist der Server nun durch diese beiden Maßnahmen sicherer? Oder unterliege ich einem Denkfehler?

Thobie

 

[WollFuchs]

ok .. mal eine analogie ..

du hast die idee, so wie alle anderen mit einem ausweis in der tasche rumzulaufen.
einfach weil man damit beweisen kann, wer man ist, fuer den fall, dass es jemanden
interessiert und weil es insgesamt deutlich vertrauenswuerdiger ist.

alle gehen zum rathaus (cert stelle) und beantragen einen perso und du malst dir
einen eigenen und klebst dein bild rein.

nun wird jeder ausser dir wohl sehr misstrauisch sein, was dieser selber gemalte
agentenausweis wohl aussagen soll, du selber sagst dir aber, der ist echt, ich muss
das ja wissen, schliesslich habe ich ihn selber gemalt.

edith:
im grunde ist das selber malen ja ok .. fuer den internen gebraucht, wenn du das
selber gebastelte zertifikat innerhalb deines lans an die clients verteilst und denen
das ok gibst, wenn der aussteller biedermann kommt, ist das voll chillig und gueltig.

das geht aber nicht nach aussen, da schaut jeder bisschen pikiert auf die zert kette
und denkt, da sollte aber doch mensch -> rathaus -> bundesdruckerei stehen, da
steht aber nur "i bims, der selbermaler".

was Du da gemacht hast ist ein self signed, du brauchst aber z.B. ein Lets encrypt,
das auch kostenfrei aber von einem aussteller (R3/X3) zertifiziert wurde. das ist dann
3 monate gueltig und laesst sich kurz vor ablauf kostenfrei verlaengern.

ich hab deshalb einfach fuer so spielereien eine kleine 116er synology hier stehen,
das lets encrypt verlaengert sich regelmaessig, drin ist eine 4 TB HDD und dient
fuer galerien, sftp, web, vpn, eben alles was von aussen kommt und nicht direkt
auf irgendeine karre hier im lan muss. super sicher, super simpel und idlet mit 5W
einfach vor sich hin. kostet alles in allem gebraucht 150.- schleifen und ist sein geld
fuenfmal wert.

ob ich da 1, 3 oder 1000 user mit bediene, mit rechte und rollen und tralala, ob und
wer, wo und wie sein zeug ablegen darf, alles fein steuerbar. mal so als idee, bevor
das rumpel experiment nix mehr wird.

edith2:
nein, der server wurde nicht sicherer, in keiner weise. eher im gegenteil, da die
leute auch noch der unsicherheit explizit zustimmen.

 

[hutzi20]

Lieber thobie,

bitte informiere ich dich ein bisschen mehr über sichere Verbindungen, Zertifikate, selbstsignierte Zertifikate ect...

Somit geht das Ganze auch ohne Let's Encrypt.

Das ist schon ein riesiger Unterschied zu selbstsignierten Zertifikaten.


Mal aus Sicht eines Anwenders:
Ich rufe deine Seite auf und bekomme eine Warnung dass Safari die Website eigentlich gar nicht öffnen will weil sie unsicher ist da nur TLS 1.0 und SSL 3 verwendet wird.
Dann muss ich bestätigen dass mir das Risiko bewusst ist um fortzufahren.
Danach kommt nochmal eine Meldung das die Seite unsicher ist da das Zertifikat nicht vertrauenswürdig ist und selbstsigniert ist. Ich muss dann wieder bestätigen dass mir das Risiko bewusst ist. Dann wird dein Zertifikat in meinen Schlüsselbund installiert welches ich mit TouchID bestätigen muss.
Danach komme ich auf deine Seite und sehe ständig die rote Warnschrift "nicht sicher"

Daher ist es technisch unsicher und der normale User wird so deine Seite nicht besuchen.


Theoretisch könntest du einen weiteren Webserver als Reverse Proxy davor schalten welcher dann das Handling mit Certbot übernimmt und gleichzeitig nur die neuesten TLS Versionen zulässt bzw, sie überhaupt anbietet im Gegensatz zu dem alten Rumpus. Aber das wird dein Können übersteigen (nicht böse gemeint).

Ich rate daher wirklich auf die neueste Rumpus Version zu wechseln und nicht mit ach und krach bei der Alten.

 

[MacKaz]

Ich habe den Thread die letzten Tage immer mal wieder verfolgt.
Was mir nicht ganz klar geworden ist: Warum wird nicht irgendwas auf dem Server des Hosters betrieben (Nextcloud zum Beispiel oder wie weiter vorn gelesen irgendwas innerhalb Wordpress )?
In Kombination mit einer Syncsoftware kann das dann ja direkt nach Upload von dort heruntergezogen werden, E-Mail-Benachrichtigung sollte auch möglich sein.

Der Aufwand, der hier betrieben wird, muss doch irgendeinen Sinn haben?
Allein das Risiko, im schlechten Fall durch Basteleien Kunden zu verlieren, erscheint mir zu hoch.

Aber vielleicht habe ich das auch nur nicht richtig verstanden/verfolgt?

 

[ElectricWizard]

Dieser Thread ist ja wie ein Autounfall. Man weiß, dass es falsch ist sich hier aufzuhalten. Kompetente Hilfe ist schon da und man steht nur im Weg. Aber wegschauen und zu machen geht auch nicht weil einem die Haare zu Berge stehen. Und so klickt man sich weiter von Seite zu Seite und es wird nicht weniger schlimm.

Ich wiederhole jetzt mal was bereits mehrfach vom unterschiedlichen Person hier gesagt wurde -nur etwas schroffer:

LASS ES BITTE BLEIBEN! Du hast keine Ahnung was von dem was du tust! Es ist grob fahrlässig! Einfach nein!

Jetzt bin ich wieder still und nehme von mir aus meine Strafe wegen Gafferei entgegen..

 

[thobie]

Moin,

entweder kaufe ich jetzt ein Wildcard-Zertifikat für den Server.

Oder ich versuche es mit der Fehlermeldung einmal im Forum von Let's Encrypt.

Grüße aus Hamburg

Thobie

 

[lisanet]

Lieber Thobie,

ein Wildcard-Zertifikat von Strato wird dir absolut nichts bringen, da das Zertifikat auf dem Server von Strato installiert werden wird und du es also nicht auf deinem Server hast. Lies dir nochmal #73 durch.

Mit der Fehlermeldung deiner alten Version kann auch ein letsencrypt-Forum nichts anfangen, da offensichtlich deine alte Version von Rumpus nicht die korrekte Installation des certbot ermöglicht.