1) nein, 2) auch nein. Betrifft jetzt die KI und das "rumfummeln"
Warst schon gut dabei, fang jetzt nicht an, wieder alles zu verstellen, nur weil so eine dämliche KI mit irgendwelchen wüsten Vorschlägen daher kommt
Also: Alles was ich Dir oben geschrieben hatte: passt. Nochmal kurz zusammengefasst: Dein HA-Host hat eine private IPv4- und eine öffentliche IPv6-Adresse. Dein Router hat eine öffentliche IPv4- und eine öffentliche IPv6-Adresse. Also alles Dualstack. Im Router hast Du a) eine Portweiterleitung für IPv4 auf den HA-Host eingerichtet und b) und nochmal das gleiche für IPv6. Dazu noch beim Rebind-Schutz Deine Domain eingefügt. Soweit ich das sehe, passt das bis hierhin erstmal.
Ich habe im HA sowohl interne als auch externe URL auf die duckdns https domain gestellt
Gleiches habe ich auch in der HA mobile App gemacht
extern funktioniert die App tadelos
intern meckert die App sowas wie "Zertifizierungsstelle nicht vertrauenswürdig" sobald ich sie öffne. Allerdings kann ich die Meldung einfach wegklicken und es läuft (duckdns arbeitet mit lets encrypt)
--> allerdings ist das sicher nicht Sinn der Sache, unschön und ggf. nicht sicher, falls er dann irgendwie doch auf http zurückgreifen sollte.
Wenn die App nur "intern" meckert, hast Du es mal intern mit dem Browser versucht (ruhig den Browser des Smartphones)? Irgendwie bin ich mir relativ sicher, dass da nicht der richtige Host bei rum kommt, sonst würde das Zertifikat passen.
Übrigens: Mit IPv4/IPv6 und DynDNS hat das erstmal nix zu tun. Das bedeutet quasi erstmal nur, dass Du mit Deinem Auto an die korrekte Adresse (inkl. Hausnummer) geschickt wirst. Ob dann noch die entsprechende Partei dort anzutreffen ist (Webserver/vHost/FQDN) bzw. die Tür offen ist (Ports), sind nochmal andere Themen, ebenso wie die Verschlüsselung des Besuches (SSL).... oder irgendwie so ähnlich...
Zwar bauen diese Dinge aufeinander auf, aber wenn eines davon nicht geht, müssen nicht zwingend alle anderen involviert sein. Das hatte ich auch anfangs schon angemerkt:
Wenn das einwandfrei funktioniert ist es gut, falls nicht, sollte das Zertifikat erstmal Deine geringste Sorge sein, da ansonsten schon vorher etwas schief läuft (beim DynDNS-Teil).
Läuft also der vorherige Teil nicht sauber, wird das mit dem Zertifikat halt mitunter auch nicht funktionieren, daher ist die Reihenfolge schon nicht unwesentlich. ABER... es schien ja alles funktioniert zu haben (so hatte ich zumindestens den Eindruck) und das LE-Thema kam dann noch oben drauf - halt zum Schluss, wo alles andere schon funktioniert hat, oder?
Das mit den Zertifikaten verhält sich wie folgt - mein liebstes Beispiel dazu sind Personalweisweise. Wenn ich mir jetzt einen Personalausweis selber "male" und Dir diesen vor's Gesicht halte: Würdest Du dem Ausweis vertrauen? Mit Sicherheit nicht. Wenn ich nun aber einen "offiziellen" Personalausweis habe, würdest Du diesen vertrauen. Heisst also, dass die selbst signierten/-erstellten Zertifikate eine entsprechende Meldung bringen und die offiziell signierten Zertifikate so eine Meldung nicht bringen (da Deine Endgeräte den Zertifikaten der Zertifizierungsstellen vertrauen, mit welchen die ausgestellten Zertifikate signiert werden). Da Deine Endgeräte der Lets-Encrypt-Zertifizierungsstelle vertrauen (und auch vielen anderen Zertifizierungsstellen), bekommst Du dort so eine entsprechende Meldung eben nicht.
Da der HA-Host der "ein" Zertifikat vorweisen kann (Lets Encrypt, offiziell beglaubigt) und dieses von extern auch problemlos funktioniert, liegt der Verdacht also recht nahe, dass Du "irgendwo anders" landest. Daher auch einfach mal der Versuch über einen Browser (von intern heraus). Vielleicht stimmt ja etwas mit dem Rebind-Schutz nicht und Du landest auf der Fritz!Box (oder wo auch immer). Ich gehe mal davon aus, dass der HA-Host auch mal neugestartet wurde.
Ganz generell: Wenn Du etwas im Browser aufrufst und eine entsprechende Fehlermeldung erhälst, hast Du normalerweise auch die Möglichkeit, dass Du Dir das Zertifikat anzeigen lassen kannst, welches Dir unter die Nase gehalten wird:
Das überprüfst Du mal über einen internen Zugriff.
Wenn Du die Adresse dann im Browser von extern aufrufst, scheint es ja zu funktionieren. Hier hast Du dann auch ein "Schloss-Symbol" oben neben der Adresszeile:
Da kannst Du auch draufklicken (unter Firefox dann "Verbindung sicher" -> "Weitere Informationen". Es öffnet sich ein entsprechendes Fenster, wo Du wieder die Möglichkeit hast, Dir das entsprechende Zertifikat anzeigen zu lassen:
Somit hast Du auch die Gelegenheit, dass Du beide Zertifikate auf Korrektheit überprüfen kannst bzw. kannst Du beim fehlerhaften (nicht vertrauenswürdigem) Zertifikat ggf. auch Rückschlüsse aus den Zertifikatsinformationen ziehen, auf welches Gerät es sich bezieht bzw. wer dieses Zertifikat ausgestellt hat.
Mach einfach mal und dann schauen wir weiter - IPv4 und IPv6 dürfen aber gern aktiv bleiben (inkl. Portweiterleitung und allem was Du vorher so getan hast)
ich verzweifle nämlich echt.
