ich habe eine Nextcloud-Instanz bei Hetzner am laufen mit eigener Domain (CNAME). Außerdem nutze ich eine Fritzbox als Router bei mir.
Nun hat die Fritzbox ein Update gemacht und danach erhielt ich folgende Warnung:
Nicht vertrauenswürdiges Zertifikat
Kann keine sichere Verbindung zu …meine CNAME Domain… herstellen:
Der name des Hosts ist keiner aus der Liste der für dieses Zertifikat gültigen Hosts
das Zertifikat ist selbstsigniert und daher nicht vertrauenswürdig
mit Zertifikat …xyz.myfritz.net
… Zertifikatsdetails …
Aussteller: …xyz.myfritz.net
Die CNAME-Subdomain hat ein gültiges Let’s Encrypt Zertifikat. Wenn ich die Nextcloud über den Browser besuche, ist auch alles gültig.
An sich ist es ja nicht schlimm, wenn meine eigene Fritzbox da in der Verbindung drin ist und die mir ihr selbst signiertes Zertifikat präsentiert.
Allerdings wundert es mich, wie das zustande kommt.
Ich baue doch eine SSL/TLS-Verbindung zu meiner CNAME-Domain auf. Was hat die Fritzbox darin zu suchen? Das ist ja wie ein Man-in-the-middle-Angriff, nur dass der Mann in der Mitte halt meine eigene Fritzbox ist?
wenn du einen lookup von deinem cname Eintrag machst:
nslookup mydomain.example.com
bekommst du dann die IP von dem Host bei Hetzner?
Wenn nach einem Router-Update die Verbindung zum Internet noch nicht hergestellt ist, oder der DNS nicht erreicht wird, geben manche Router die eigene Adresse zurueck und loesen mydomain.example.com.myfritzbox.myfritz.net auf. Oder wenn du in oeffentlichen WLAN bist und du auf alles einen Redirect auf die Login-Seite bekommst.
Läuft die Nextcloud nun bei Hetzner also Hetzner Storage Share oder bei dir zuhause? Also wenn sie bei Hetzner läuft, dann musst du doch den CNAME auf die IP-Adresse von Hetzner stellen und Hetzner kümmert sich um das SSL-Zertifikat usw. Lese z. B. hier. Also mit deiner FRITZ!Box hat das dann gar nichts zu tun. Schreibe auch noch kurz wo du den DNS-Namen hostest. Du kannst auch mal alles mit mobilen Internet oder bei Bekannten ohne deine FRITZ!Box ausprobieren. Läuft es dann korrekt? Vielleicht hast du auch auf deinem Client irgendwas manuell für deine Domain bzw. den CNAME konfiguriert. Schmeiss das alles raus.
Ja der nslookup liefert mit die korrekte Hetzner-IP.
Danke tflidd für die Erklärung zur Fritzbox. Genau so wird es gelaufen sein. Die Meldung kam direkt nach dem OS-Update der Fritzbox, wahrscheinlich stand die Internet-Verbindung da noch nicht.
@devnull: Da habe ich mich vielleicht etwas missverständlich ausgedrückt. Die Nextcloud läuft als Hetzner Storage Share und der CNAME verweist auf die ns…your-storageshare.de. Hetzner kümmert sich um das SSL-Zertifikat, welches in diesem Fall von let’s encrypt kommt.
Nochmal danke euch beiden für die schnellen Antworten und Erläuterungen. So konnte ich mir das Verhalten erklären.