Was wird da verschleiert? Der DNS Record zeigt am Ende des Tages auf eine IP Adresse, egal ob es ein CNAME Record ist, der auf einen DynDNS-Record zeigt oder ein A Record, der direkt auf die IP zeigt. Und diese IP hat normalerweise sogar einen PTR Record, wenn sie in einem Residential-Range eines ISPs liegt, sowas wie: XXX-XXX-XXX-XXX.dynamic.deinisp.de. Du verschleierst hier also gar nichts, ausser du nutzt zusÀtzlich einen Dienst wie Cloudflare Tunnels, oder deinen eigenen Proxy auf einem VPS.
Auch ist jedes Zertifikat fĂŒr eine Subdomain, das du bei Letâs Encrypt beziehst, öffentlich auffindbar. Wenn du also keine RĂŒckschlĂŒsse auf die Dienste zulassen willst, die du hostest, musst du Wildcardzertifikate beziehen, und nicht eines pro Subdomain.
Die Möglichkeit Wildcardzertifikate zu beziehen ist ja einer der grossen Vorteile der DNS Challenge, neben dem bereits genannten, dass man keine Ports öffnen muss. Allerdings geht das dann eher schon ein wenig in die âSecurity by Obscurityâ-KategorieâŠ
Wie gesagt, mein DNS hat keine API, also muss ich die Zertifikate manuell erneuern, wenn ich die DNS Challenge verwenden will. Habe da aber ein paar Ideen, wie ich das in Zukunft allenfalls automatisieren kann. Und ja klar, ich könnte einfach mein DNS zu einem der unterstĂŒtzten Provider umziehen, aber das entspricht nicht meiner Idee von self-hosting und einem dezentralen Internet, und ich bin sehr âpickyâ wenn es um externe Provider geht. ;-p
Wie soll das gehen, wenn ich keine feste IP an meinem Internetanschluss habe? âŠausser ich leite alles ĂŒber einen externen Proxy, den ich entweder auf einem VPS âselberâ hoste, oder ĂŒber einen Dienst wie Cloudflare.
WÀre aber interessant zu wissen wie du das im Detail löst.
Einen Mailserver betreibe ich auch, der lÀuft allerdings direkt auf einem VPS, und nicht bei mir zuhause, eben weil ich zuhause nur eine dynamische IP habe.
Und ja ich weiss es gibt Mittel und Wege auch das zum laufen zu kriegen, aber auch da brĂ€uchte es wieder einen externen Proxy und einen Tunnel nach Hause oder einen Relay Server auf einem VPS fĂŒr ausgehende Mails.
Oder einen Business Internetanschluss mit fixen IPs, wĂ€re natĂŒrlich auch noch eine Möglichkeit, was aber vorallem bei den billigen Businesspaketen auch nicht immer hilft mit dem Mailserver, weil diese fixen IPs sich hĂ€ufig in den selben IP Ranges befinden wie die dynamischen Residential IPs, und diese IP Ranges grossflĂ€chig in diversen Block- und Spamlisten gefĂŒhrt werden, aus denen man sie dann ersteinmal rauskriegen muss.