Nextcloud-Probleme

  • Okay... An welcher Stelle, die mit letsencrypt? Ist das überhaupt wichtig, wenn ich meinen Server nicht nach außen öffnen will?

    Grundsätzlich bin ich dafür, *IMMER* die Sicherheit hoch zu halten, und erst recht intern. Bekanntermaßen kommen die meisten Angriffe von innen. Tut dir dabei etwas weh auch intern verschlüsselt auf die Daten zuzugreifen? In der Arbeit sichern wir auch intern alle Webdienste mittels https ab, ohne wenn und aber.

    Wie lange dauert es auf https umzustellen? 1 oder 2 Minuten?

  • Grundsätzlich bin ich dafür, *IMMER* die Sicherheit hoch zu halten, und erst recht intern. Bekanntermaßen kommen die meisten Angriffe von innen. Tut dir dabei etwas weh auch intern verschlüsselt auf die Daten zuzugreifen? In der Arbeit sichern wir auch intern alle Webdienste mittels https ab, ohne wenn und aber.

    Wie lange dauert es auf https umzustellen? 1 oder 2 Minuten?

    Ich bin mir der Ausmaße, bzw. des Aufwandes nicht im Klaren, um ehrlich zu sein, Ansonsten bin ich da derselben Meinung, die Sicherheit lieber hoch zu gewichten.

    Wenn ich da allerdings lese, das zB das Zertifikat nur drei Monate gültig ist... Heißt das, ich muss alle drei Monate ein neues anfordern?

  • OK, ich habs versucht, es hat nichts gebracht... Wie genau sichere ich das mit https ab? Auch wundert es mich, dass bei der Installation per Browser-interface, man eigentlich auf eine https-Seite weitergeleitet wird, das also da schon funktionieren müsste oder? Wo genau steht, wie ich https einrichte?

  • Rasnext

    Wenn Du Nextcloud über eine externe Domain betreibst und dafür bei Letsencrypt das Zertifikat korrket einbindest, wird das Zertifikat automatisch vor Ablauf erneuert.
    Für interne Zwecke lohnt sich keine Verschlüsselung, sofern Du den Leuten vertraust, die sich in Deinem Netzwerk aufhalten.
    Wenn Du trotzdem sicher gehen willst, generierst Du ein eigenes Zertifikat mit langer Laufzeit und nimmst es in Deinem Browser auf, dann ist auch die Fehlermeldung weg, die auf ein ungeprüftes Zertifikat hinweist.

    Ich betreibe mehrere Webseiten auf meinem Pi 4B mit externen Domains und die LetsEncrypt Geschichte läuft einwandfrei.
    Andere Pis, die ich rein Zuhause betreibe (Server für z.B. Raspberrymatic usw.), habe ich alle externen Zugriffsarten blockiert (also keine Ports freigegeben) und greife da nur per http intern zu.
    Muss ich doch mal von extern zugreifen, wird über VPS ein Tunnel aufgebaut und zur Not greift auch da ein eigenes verschlüsseltes Zertifikat.

    In der Regel bringen die Webserver unter Linux ja alles mit, wobei da sogar schon Zertifikate vorkonfiguriert sind (u.a. am Namen Snakeoil zu erkennen), wobei ich aber trotzdem immer nur eigene Zertifikate nutze.

    Fazit:

    Externer Zugriff für alle: LetsEncrypt

    Interner Zugriff nur für Dich: keine oder eigene Zertifikate

    Externer Zugriff nur für Dich: VPS Verbindung und keine Ports nach außen

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

    2 Mal editiert, zuletzt von Outlaw (9. Juli 2022 um 17:49)

  • Wenn ich da allerdings lese, das zB das Zertifikat nur drei Monate gültig ist... Heißt das, ich muss alle drei Monate ein neues anfordern?

    Wenn Du Port 80 + 443 für den Raspberry freigibst, wird das automatisch passieren, wenn nur 443 offen ist, musst Du dich selbst darum kümmern. Dauert ca. 2 Minuten. Ist das zu viel alle 3 Monate selbst zu machen?

  • LetsEncrypt macht intern keinen Sinn, zudem braucht man einen DynDNS Eintrag und der wird meist von LetsEncrypt abgelehnt, wenn man nicht auch noch eine gescheite Domain vorweisen kann.

    Daher:

    Eigenes Zertifikat und alle sind glücklich.

    FranjoG beschreibt auch nur die LetsEncrypt Variante, die bei rein internem Betrieb nix bringt.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

  • Schnell mal gegoogelt:

    Ein selbstsigniertes SSL Zertifikat in Apache verwenden | Codersblog.de

    Sollte passen.

    OpenSSL musst Du allerdings nicht mehr installieren, sollte beim Pi bereits aktiv sein.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

  • Es wird vermutlich in Zukunft immer weniger oder gar keinen Browser mehr geben, der reine http-Seiten öffnet. Aber ok, wenn LetsEncrypt problematisch zu handeln ist, mit DynDNS, dann bleibt ja nur ein selbstsigniertes Zertifikat, oder eine eigene Domain anlegen, dann geht es auch mit einem passenden Hosteintrag für die Nextcloud.

  • WiSo

    LetsEncrypt ist nicht problematisch zu händeln.

    Das Problem liegt einfach darin, dass LetsEncrypt nur eine gewisse Anzahl an Subdomains zulässt und da Du als DynDNS Nutzer nunmal eine Subdomain einer Domain bekommst, die 1000fach (oder mehr) bei LetsEncrypt angemeldet wird, ist eben recht schnell Schluß.

    Domains kosten heute so gut wie nix mehr und bieten oft DynDNS gleich mit, da ist das dann kein Drama mher.

    Ok, für internen Gebrauch ist LetsEncrypt natürlich überflüssig aber auch das lässt sich gut händeln, auch in Zukunft.

    Ich gehe nicht davon aus, dass selbstsignierte Zertifikate bald blockiert werden.

    Wer natürlich HSTS aktiviert, bekommt heute schon das böse Erwachen, denn dann hilft auch kein Import des Zertifikats in den Browser.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

  • LetsEncrypt ist nicht problematisch zu händeln.

    Das Problem liegt einfach darin, dass LetsEncrypt nur eine gewisse Anzahl an Subdomains zulässt und da Du als DynDNS Nutzer nunmal eine Subdomain einer Domain bekommst, die 1000fach (oder mehr) bei LetsEncrypt angemeldet wird, ist eben recht schnell Schluß.

    Das hatte ich schon so verstanden und IMHO auch so geschrieben.

    Domains kosten heute so gut wie nix mehr und bieten oft DynDNS gleich mit, da ist das dann kein Drama mher.

    Richtig, meine hab ich vor 10 Jahren bei Domainfactory geparkt, gibt viel Produkt für wenig Geld. ;)

    Ich gehe nicht davon aus, dass selbstsignierte Zertifikate bald blockiert werden.

    Nur wenn das Zertifikat nicht 'richtig' ausgestellt wird. Ich such den Eintrag vom FF in den Release Notes raus und poste ihn hier, damit man nich tdrüber stolpert. ;)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!