GoDaddy Registrar sperrt API für DNS Challenge (Let's Encrypt SSL Cert's) - Alternative?

C

Chris81T

Member
Hi zusammen,

in der Vergangenheit hatte man mir hier in dem Forum gut weiterhelfen können. Daher möchte ich kurz mein Problem schildern und bin gespannt, ob jmd. hierzu eine Idee hat, bzw. mir helfen kann:

Ich nutze mit meiner Familie Microsoft 365 family (Business ist mir einfach zu teuer, worüber Stand jetzt die Problemstellungen gelöst werden können) und besitze eine eigene Domain. Vor 3 Jahren hatte ich meine Domain zu GoDaddy umgezogen, da nur dieser Provider von Microsoft 365 family unterstützt wurde, um in dem Paket seine personalisierten E-Mail Adressen einzurichten (z.B. mein.name@mydomain.de). Das läuft auch alles tadellos. ABER letztes Jahr im November hatte Microsoft bekannt gegeben, dass die dies nicht mehr unterstützen. Lediglich die bisher angelegten Mail Adressen können weiterhin genutzt werden.

In meinem Heimnetzwerk habe ich verschiedene Docker Container am Laufen. Einer davon ist ein certbot, welcher via DNS Challenge gegen GoDaddy es ermöglicht, dass automatisch bei Let's Encrypt SSL Zertifikate bezogen werden, die ich in meinem Heimnetzwerk nutze. Auch dies läuft nun gut 2 Jahre tadellos. Bis jetzt: Ich bin jüngst auf Fehler in den Logs gestoßen, dass mir der Zugriff auf Seiten von GoDaddy verwehrt wird und nach etwas Recherche hab ich herausgefunden, dass GoDaddy seit dem 1. Mai 24 erst bei einer bestimmten Anzahl von Domains den Zugriff gewährt. Kein feiner Zug.

Nun hab ich bei weiterer Recherche gelesen, dass einige über einen "freien Plan" bei Cloudflare deren DNS Server nutzen, ohne die ganze Domain dorthin zu transferieren. Ich hab mir testweise das mit einem Account dort vorbereitet und es wurden bei Cloudflare auch die meisten DNS Einträge von GoDaddy übernommen.

Um dies nun zu Aktivieren, müsste ich die DNS Adressen von Cloudflare bei GoDaddy hinterlegen und dann ein paar Stündchen warten, bis es sich aktualisiert hat. Aufgrund der Tatsache, dass Microsoft nun die personalisierten E-Mail Adressen nicht mehr unterstützt, habe ich etwas Sorge, dass bei der Umstellung der DNS Server zu Cloudflare irgendetwas schief geht und ich dies dann nicht mehr zurückgedreht bekomme. Mir ist technisch nicht klar, wie Microsoft mit GoDaddy da verknüpft ist. Meine Domain ist weiterhin bei GoDaddy, von da aus geht es aber dann weiter zu den DNS Servern von Cloudflare?! Bekommt Microsoft davon irgendwas mit? Da fehlt mir Wissen zu.

Würde dies klappen, so wäre der Plan über Cloudflare die DNS Challenge durchzuführen.

Hat jemand hierzu bereits (allgemeine) Erfahrungen mit gemacht? Gibt es neben der DNS Challenge eventuell noch eine ganz andere Alternative? Im eigenen Netzwerk einen Port zu öffnen stellt auch wieder eine Sicherheitslücke da, oder gibt es hier nun andere/neue Optionen?

Auf jeden Fall besten Dank für jeden hilfreichen Tipp! :)
 
Weiß nicht was certbot alles kann. Bei acme.sh lässt sich via domain / challenge Alias ein Provider umgehen der kein Zugang zu einer DNS API bietet. Einzig ein statischer DNS Eintrag bei der Domain für die man Zertifikate will ist nötig.

https://github.com/acmesh-official/acme.sh/wiki/DNS-alias-mode

Kannst also alles bei Godaddy lassen und nur die API für die Zertifikate zu Cloudflare oder einem anderen von acme.sh unterstützten Anbieter auslagern.

https://github.com/acmesh-official/acme.sh/wiki/dnsapi
 
Guten Morgen @Fusion ,

vielen Dank für deine Rückmeldung. Das hört sich interessant an. Werde ich mir näher anschauen! Beim Drüberfliegen habe ich lediglich gesehen, dass ich dann eine weitere Domain für diesen Zweck benötige. Gibt's bestimmt auch wie Sand am Meer. Später direkt mal bei Cloudflare schauen, ob da was beim freien Plan dabei ist...
 
Ja, man braucht eine weitere Domain im einfachsten Fall. Kostet im schlimmsten Fall vermutlich aber auch nur 2-6€ pro Jahr (mit/ohne Angebote) bei diversen Anbietern.

Alternativ kann man auch nur für eine Subdomain die Nameserver Verwaltung zu dem Anbieter mit der API umleiten.

Letzteres hatte ich früher mit der Kombi Strato/HurricaneElectric.
Aktuell habe ich es mit einer kompletten second-level Domain / Hilfsdomain die ich woanders registriert habe und bei Hetzner den DNS dazu verwalte.
 
Bei mir ist NetCup der Registrar meiner Domains, die technische Verwaltung dafür habe ich schon vor Jahren zu Cloudflare umgezogen: funktioniert ohne Probleme mit dem "Kostnix" Account.

Dyndns Client in OpenWRT und OPNsense funktionieren problemlos damit.
LE Wildcard-Zertifikate erzeugt mit Traefik auch problemlos.
 
Ich hab ein losgelöst wenig recherchiert und z.B. gesehen, dass man Mini vServer für 1€ monatlich schon buchen kann. IONOS nennt sich der Anbieter. Darüber sollte man dann sich recht unkompliziert für die eigene Domain ein Zertifikat ausstellen lassen können?! Da müsste man von GoDaddy dann vermutlich mit einem A Record (muss da nochmal nachlesen) auf den vServer verweisen und der Rest passiert dort. Die dann erstellten Zertifikate könnte ich dann zum Einen für den vServer nutzen, aber auch im Heimnetz, wo ich meine Dienste via Subdomains eingerichtet habe (es läuft ein Bind9 im Netzwerk), vermute ich mal, da das Zertifikat rein domänenbezogen ist?

Wären dann 12€/Jahr aber hätte damit noch einen kleinen low-budget Server.

Bin mir noch nicht sicher.
 
Magst Du noch den Gedanken teilen, welche Rolle der IONOS VPS Linux XS bei Lösung spielen soll?

Ein Zertifikat hat immer Domain Bezug. Am Ende muss der Service über eine URL aufgerufen werden, dessen Domain in der SAN Liste des Zertifikats steht, damit das Zertifikat überhaupt als Valide angesehen wird.
 
Unkompliziert ist eine Frage der Perspekive und/oder Anforderungen. 😊

Viele Wege führen zum Ziel.
 
Jaaa.. 🙂
ich brauche irgendeine weitere Domain und muss da ein paar Euro vermutlich in die Hand nehmen. So kam mir der Gedanke zum vServer, bei dem ich die Option auch für was anderes hätte.

Bzgl. Subdomain hab ich z.B. an Wordpress gedacht (früher mal gehabt), aber das taucht oben beim angegebenen Link nicht in der Liste auf.

Ich muss mich damit nochmal im Detail befassen. Kam ich noch nicht zu ..
 
Weil das leider nur für die Business Accounts vorbehalten ist. Das ist mir aber für den privaten Gebrauch einfach zu teuer. Ich nutze hier MS 365 family. Da werden einem auf Microsoft Seite die Admin Einstellungen verwehrt.
 
Sag mal.. beim MS-Family-Paket ist doch "nur" die Office-Suite dabei (ohne Exchange), wo liegen denn überhaupt die Mails? :unsure:
 
Ich wiederhole mich gern: "Wo" liegen die Mails, denn "Exchange" gehört nicht zum Umfang des Family-Paketes. Microsoft Exchange ist keine "App", sondern ein "Dienst". Nutzt Du evtl. bzgl. der Mails einfach "outlook.com" (früher Hotmail), also einfache IMAP-Konten?

Wenn Du der Meinung bist, dass "Exchange" ein Teil des Family-Paketes ist, dann zeig mir doch bitte mal einen entsprechenden Screenshot, wäre ja schon ein ziemlicher Knaller, aber ich denke nach wie vor, dass dem nicht so ist.
 
Mir ist schon klar, was Exchange ist ;-) Unternehmensseitig sind wir damit unterwegs. Ich hatte deine erste Frage etwas anders im Kopf gehabt - daher passt meine Antwort nicht ganz.

Hier ist "oulook.com" mit 100GB im Hintergrund im Einsatz.

Willst du auf etwas Gezieltes heraus? Weitere Option?
 
Konkret ging es mir eigentlich um diesen Punkt:
Chris81T schrieb:
Vor 3 Jahren hatte ich meine Domain zu GoDaddy umgezogen, da nur dieser Provider von Microsoft 365 family unterstützt wurde, um in dem Paket seine personalisierten E-Mail Adressen einzurichten (z.B. mein.name@mydomain.de).
Zum Vergrößern anklicken....
Man "muss" sich nicht zwangsläufig Microsoft bzw. outlook.com unterwerfen und dann noch zusätzliches Gehampel mit personalisierten Mail-Adressen haben. Mails hier, Domain dort, jenes welches und so weiter... Wäre vielleicht einfacher, wenn Du einfach einen Hoster nimmst, der entsprechend die gewünschte API-DNS anbietet und man dort auch direkt die Mails deponiert. Dann könnte man sich das ganze Theater auch einfach sparen. Alternativ ggf. einfach einen günstigen VPS nutzen (da ist dann meist schon eine Plesk-Lizenz o.ä. mit dabei bzgl. der webbasierten Verwaltung). Da muss man sich dann auch keine Sorgen mehr machen, dass irgendwas irgendwann nicht mehr unterstützt wird 🙃
 
So,
ich habe mir für 60cent (1. Jahr) eine neue Domain gesichert, die ich für meine Services hier zu Haus nutzen werde.

Dann bin ich an der Stelle entkoppelt und sollte die Tage alles wieder passend am Laufen haben.

Ich hatte weiter oben was von einem VPS für 1€ monatlich geschrieben. Bitte seht von dem Anbieter ab, da der nach Sichten der Details sehr fragwürdig erscheint. Fehlende direkt erkennbare Kündigungsfristen usw.

Euch vielen Dank für den guten Austausch hier! 🙂
 
Schön, dass Du eine Lösung für Dich gefunden hast :)
Chris81T schrieb:
Ich hatte weiter oben was von einem VPS für 1€ monatlich geschrieben.
Zum Vergrößern anklicken....
Die Dinger können quasi "nix", reichen aber für kleinere Dinge durchaus aus, z.B. um die Problematik beim Zugriff auf die heimischen öffentlichen IPv6-Adressen zu umgehen, wenn man von einem IPv4-Anschluss kommt. Können also schon durchaus sinnvoll sein (nebst IONOS bietet Strato sowas wohl auch noch an).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 181 (Mitglieder: 7, Gäste: 174)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.021
Beiträge
50.326
Mitglieder
4.713
Neuestes Mitglied
tAntChen

Teilen

Zurück
Oben