Das Webinterface von Pi-hole ist nach Installation nur via HTTP erreichbar. Dies lässt sich aber mit wenig Aufwand auf HTTPS umstellen.

Ich setzte hier voraus, dass bereits ein Privat- (private.key) und Public-Key (public.crt) erstellt wurde.

Erstellen der Zertifikatsdatei

Diese beiden Keys müssen, im Falle von Pi-hole bzw. dem verwendeten Webserver lighthttpd, in ein File kombiniert und unter „/etc/lighttpd/ssl/“ abgelegt werden.

mkdir /etc/lighttpd/ssl/
cat private.key public.crt > /etc/lighttpd/ssl/combined.pem

Anlegen der SSL-Konfiguration von lighthttpd

Damit die SSL-Settings nach eine Update von Pi-hole nicht überschrieben werden, sollten diese Anpassungen in dem File „/etc/lighttpd/external.conf“ passieren. In dieses File muss folgender Inhalt eingefügt werden.

setenv.add-environment = ("fqdn" => "true")

$SERVER["socket"] == ":443" {
	ssl.engine = "enable"
	ssl.pemfile = "/etc/lighttpd/ssl/combined.pem"
	ssl.honor-cipher-order = "enable"
	ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
	ssl.use-sslv2 = "disable"
	ssl.use-sslv3 = "disable"
}

$HTTP["scheme"] == "http" {
	$HTTP["host"] =~ ".*" {
		url.redirect = (".*" => "https://%0$0")
	}
}

Neustart lighthttpd

Abschließend muss der lighthttpd-Dienst einmal neu gestartet werden.

service lighttpd restart

Beim Update des UniFi-Controller, kommt es bei dem Wechsel auf eine neue Unterversion (7.1.x –> 7.2.x, 7.2.x –> 7.3.x) zur Meldung

E: Repository 'https://dl.ubnt.com/unifi/debian stable InRelease' changed its 'Codename' value from 'unifi-7.2' to 'unifi-7.3'
N: This must be accepted explicitly before updates for this repository can be applied. See apt-secure(8) manpage for details.