naked domain problem - Netcup-Domain ohne Subdomain mit SSL nicht über CNAME erreichbar

  • Liebe Forenmitglieder,


    Wie der Titel schon sagt, leide ich unter dem "naked domain problem".


    Ich möchte über meine Netcup-Domain auf meinen nginx-Server ohne eine Subdomain (z. B. ohne "www.") zugreifen. Der Server läuft auf meinem Raspberry Pi, der an einer Fritz-Box mit einer dynamischen IP-Adresse hängt. Und natürlich möchte ich SSL verwenden.

    Ohne SSL (http://abc.de) funktioniert es gut, mit SSL (https://abc.de) bekomme ich, anscheinend unabhängig von meiner nginx-Konfiguration, "ERR_CONNECTION_TIMED_OUT".


    Was ich habe:

    -Netcup-Domain

    -Dynamische IP-Adresse

    -Fritzbox

    -Raspberry Pi

    -Nginx

    -Wordpress


    Was ich möchte:

    -auf die Domain mit und ohne "www" zugreifen

    -SSL-Verschlüsselung


    Mein aktuelles Setup:

    -DNS-EInstellungen:

    * CNAME abcdefghijklmnop.myfritz.com

    @ A 174.129.25.170


    Der A-Record soll das "naked domain problem" lösen (http://wwwizer.com/naked-domain-redirect). Das tut er im Falle mit SSL-Verschlüsselung aber nicht. Kennt jemand dafür vielleicht eine Lösung? Ich habe schon recht viele verschiedene nginx-Serverkonfiguration ausprobiert. Als letztes hatte ich das hier versucht:


    server {

    listen 443 ssl http2;

    listen [::]:443 ssl http2;

    root /var/www/abc.de/html;

    index index.php;

    server_name abc.de;

    location / {

    try_files $uri $uri/ =404;

    }

    location ~ \.php$ {

    include snippets/fastcgi-php.conf;

    fastcgi_pass unix:/run/php/php-fpm.sock;

    }

    ssl_certificate /etc/letsencrypt/live/abc.de/fullchain.pem; # managed by Certbot

    ssl_certificate_key /etc/letsencrypt/live/abc.de/privkey.pem; # managed by Certbot

    }


    server {

    listen 443 ssl http2;

    listen [::]:443 ssl http2;

    root /var/www/abc.de/html;

    index index.php;

    server_name www.abc.de;

    location / {

    try_files $uri $uri/ =404;

    }

    location ~ \.php$ {

    include snippets/fastcgi-php.conf;

    fastcgi_pass unix:/run/php/php-fpm.sock;

    }

    ssl_certificate /etc/letsencrypt/live/www.abc.de/fullchain.pem; # managed by Certbot

    ssl_certificate_key /etc/letsencrypt/live/www.abc.de/privkey.pem; # managed by Certbot

    }


    server {

    listen 80 default_server;

    server_name _;

    return 301 https://$host$request_uri;

    }


    Ich habe auch schon versucht, mir SSL-Logs ausgeben zu lassen, ohne dass mir das geholfen hätte.


    Ich habe den Eindruck, dass ich gar nicht bis zu meinem Server durchkomme.


    Nachdem, was ich sonst so gelesen habe, würde mir eine ein A-Record helfen, der aber nur mit einer statischen IP-Adresse funktioniert, die ich nicht habe. Kann ich auf einen kostenlosen DNS-Anbieter (wie z. B. https://freedns.afraid.org/) mit A-Record verweisen? Dazu hatte ich bisher keine Beispiele gefunden.


    Oder gibt es sonst einen Lösungsweg, den ich bisher übersehen habe?

    Vielen Dank für die Aufmerksamkeit und einen schönen Tag weiterhin!

  • Das ist kein "Naked Domain Problem" - du kannst auf Root Domain Ebene einfach keinen CNAME definieren.

    Das unterstützt das DNS Protokoll nicht.

    Doch, "*" sollte im Gegensatz zu "@" laut RFC4592 funktionieren, wenn es auf dieser Ebene keine anderen Einträge gibt (vgl. hier). Aber das habe ich bislang nie selbst ausprobiert. EDIT: Die Testdomäne bei deSEC funktioniert damit einwandfrei (sogar für beliebige Unter(unter)domänen; ein existierender mail._domainkey-TXT-Eintrag hat Vorrang und "verdeckt" den Wildcard-CNAME-Eintrag für diese explizit spezifizierte Unterdomäne):

    Zitat von Fritz!Box-Ausgabe

    Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.

    Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.

    Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • '*' ist an der Stelle allerdings nicht naked Domain. Klingt jetzt was penibel, aber er möchte halt genau das. Als beste Lösung ohne viel zusätzliche Software würde ich auf der Fritzbox Myfritz einrichten und den ALIAS Record auf den Myfritz Namen zeigen lassen.


    Die kurze Unterbrechung in der Nacht wenn der Reconnect stattfindet lässt sich nicht vermeiden. Bei mir sind es aktuell an der Kombination knapp 2 Min in welcher die Fritzbox nicht über den naked domain Eintrag erreichbar ist.

  • Ich freue mich über das zahlreiche Feedback :thumbup::)


    Ich hatte wwwizer.com eben eine Mail geschickt und prompt eine Antwort bekommen:


    "Unfortunately SSL is not supported on the free one."


    Das hätten sie fairerweise auf ihrer Webseite auch so, ggf. deutlicher, schreiben können. Habe ich ihnen auch als Feedback geschrieben. X(


    Patrick0815 Danke, wenn ich den A-Record entfernte, dann bekam ich auch keine Verbindung mehr über http (also ohne SSL) ohne Subdomain hin. Deswegen kam ich auf wwwizer.com.


    michaeleifel Stimmt, das mit dem ALIAS hatte ich mir auch schon mal angesehen. Der lässt sich bei Netcup aber ja nicht einstellen. Wenn es für mich mit Netcup tatsächlich keine Lösung gibt, werde ich das aber so machen, danke! Myfritz nutze ich ja bereits und eine kurze Nicht-Erreichbarkeit könnte ich gut verkraften.


    m_ueberall Danke für den Hinweis dass die CNAME-Wildcard doch klappen soll! ^^ Sie tut es bei mir ja auch, nur eben nicht, wenn gar kein Wert vorhanden ist. Ich habe bzgl. deSEC nichts über eine Testdomäne gefunden, kann das also nicht reproduzieren/ganz nachvollziehen. Das mit dem DNS-Rebind-Schutz hatte ich bereits konfiguriert (so: https://avm.de/service/wissens…P-Adressen-nicht-moglich/).


    Falls noch jemand eine Lösung mit Netcup kennt; ich bin interessiert. :D

  • Ich freue mich über das zahlreiche Feedback :thumbup::)


    m_ueberall Danke für den Hinweis dass die CNAME-Wildcard doch klappen soll! ^^ Sie tut es bei mir ja auch, nur eben nicht, wenn gar kein Wert vorhanden ist. Ich habe bzgl. deSEC nichts über eine Testdomäne gefunden, kann das also nicht reproduzieren/ganz nachvollziehen. Das mit dem DNS-Rebind-Schutz hatte ich bereits konfiguriert (so: https://avm.de/service/wissens…P-Adressen-nicht-moglich/).


    Falls noch jemand eine Lösung mit Netcup kennt; ich bin interessiert. :D

    Auf was m_ueberall vermutlich verweisen wollte ist die Benutzung eines DNS Anbieters der CNAME Records für dein Problem unterstützt.

    DeSec ist hier zu finden, https://desec.io/

    Der Link verweist auf ein paar weitere Anbieter wie z.B. GoDa***


    Bedeutet in diesem Zusammenhang aber auch die NS für deine Domain umzustellen.

  • m_ueberall […] Ich habe bzgl. deSEC nichts über eine Testdomäne gefunden, kann das also nicht reproduzieren/ganz nachvollziehen. […]

    Falls noch jemand eine Lösung mit Netcup kennt; ich bin interessiert. :D

    Sorry, gemeint war die eigene Testdomäne, die ich bei Netcup registriert habe, aber für welche ich die externen deSEC-Nameserver verwende (siehe auch hier).

    Bei den Netcup-eigenen DNS-Servern könnte es analog funktionieren, das käme auf einen Versuch an (aber ich habe nur eine Testdomäne und möchte sie für diesen Test nicht wieder temporär zurückführen).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Ich hatte wwwizer.com eben eine Mail geschickt und prompt eine Antwort bekommen:


    "Unfortunately SSL is not supported on the free one."


    Das hätten sie fairerweise auf ihrer Webseite auch so, ggf. deutlicher, schreiben können. Habe ich ihnen auch als Feedback geschrieben. X(

    Nachtrag: Hier wurde im Forum ein anderer Dienst (redirect.center) genannt, welcher ggf. im vorliegenden Fall genutzt werden könnte.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing