lets encrypt Fragen

[greeno]

hi zusammen,

ich habe mir erfolgreich :-) ein lets encrypt Zertifikat ausgestellt... von extern ist mene opnsense jetzt mit Zertifikat ...

von intern aber kriege ich:
A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname.

wenn ich dann über die IP zugreife, passt natürlich das Zertifikat intern nicht... wie löst man das ich auch von intern ein Zertifikat habe?

und schlagt mich bitte nicht gleich... deswegen:

kann man nicht automatisch ein Webserver hinter der Firewall mit dem gleichen Zertifikat versehen lassen damit auch da alles "grün" ist?
also hinter der öffentlichen IP ist z.b. noch ein Server auf 8443 erreichbar... hier kommt aber die Zertifikat Warnung...


besten Dank
ciao

[fabian]

in den systemeinstellungen (weiß gerade nicht wo) musst du die alternativen hostnamen eintragen. dann funktioniert's wegen der rebind-erkennung.

[greeno]

hi danke, was trag ich den da für einen DNS ein?
die IP der Firewall oder nochmals den FDQN vom Zertifikat?

oder andersrum wie löse ich denn das korrekt?

ciao thanks.

[fabian]

den FQDN mit dem du auf die Firewall zugreifen willst (DNS Einstellungen sind der falsche Ort - das muss unter Administration rein).

[greeno]

super danke... das ist sicherheitstechnisch ok so?
oder...?

[fabian]

dass du da deinen Host einträgst? Ja, dafür ist das Feld ja da. Es ist für Rebinding-Blockaden, das heißt dass niemand mit einem fremden FQDN blödsinn macht. Wenn es dein FQDN ist, ist es kein Sicherheitsrisiko, außer du traust das irgendwem intern zu aber dann hast du ein anderes Problem.