Servus zusammen,
danke der Tipps von @simon42 habe ich mir jetzt eine HO Instanz auf einer Synolgy VM erstellt. Alles läuft soweit bestens.
Da ich mir über Strato bereits eine Sub-Domäne für DDNS und in der Fritz!Box eingerichtet habe, würde ich mir gerne den Weg über Duck DNS sparen.
Daher meine Frage: Wie kann ich nun am besten die Verbindung mit einem Zertifikat absichern? geht das in der VM oder über ein Add-on etc? Jede Idee ist willkommen … 
Beste Grüße
Marc
Kurz und knackig: Mit ner Fritzbox würde ich das gar nicht angehen. Kauf Dir ordentliche Hardware mit VLAN- und IPS-Support, dann kannst Du Dein Netz segmentieren und u.a. eine DMZ für extern positionierte Hosts einrichten. Da lässt Du dann einen Reverse-Proxy laufen, der das mit den Zertifikaten übernimmt und auf die Endpoints nur auf die benötigten Ports ins interne LAN zugreifen kann. Das bedarf dann natürlich, dass man sich vorher mit der Materie auseinandersetzt, bevor man irgendwas in der Richtung umsetzt.
Man konnte sich vor 15 Jahren schon auf allerlei D- und Dreamboxen remote einloggen und da gab es shodan.io noch nicht mal. 
AFAIK gibt es sogar ein Addon dafür, aber dennoch sollte das alles mit Vorsicht angegangen werden.
Hatten wir nicht neulich erst solch einen Vorfall mit HA??!?
oder gleich über die synology Synology: How to Add Wildcard Certificate – Marius Hosting
also wenn du ddns von synology nutzt
Wer hatte einen Vorfall?
Ich hatte das so ähnlich. Hatte das mit Nginx Proxy Manager eingerichtet.
Da ich die meisten Dienste in Container laufen habe, löse das Problem mit Traefik. Jeder Dienst, welche erreichbar sein soll, bekommt ne Subdomain… Das reduziert die freigegeben Ports aufs Minimum.