Keine https-Verbindung mehr unter DSM 5.1-5022 Update 1 möglich

[gnoovy]

Hi Zusammen,

ich nutze die Synology DS211j und habe heute ein Update auf die aktuelle DSM Version 5.1-5022 Update 1 durchgeführt. Die Verbindung zur Weboberfläche habe ich bisher über https durchgeführt. Seit dem DSM Update bereits auf Version 5.1-5022 ist keine https-Verbindung mehr möglich.
Firefox meldet beispielsweise den Fehlercode: ssl_error_no_cypher_overlap.
Hat das etwas mit dem openssl-Update zu tun? Muss ich ein neues Zertifikat über openssl erstellen? Wenn ja wie?

 

[Frogman]

Das klingt danach, dass Browser und DS sich auf keine SSL-Verschlüsselung einigen können - was eigentlich nur bedeuten kann, dass der Browser SSL3 verlangt, was die DS aber mit der aktuell OpenSSL 1.0.1k nicht mehr anbietet (Stichwort Poodle). Ist das ein sehr alter Browser auf einem XP-Rechner? Hier kannst Du Deinen Browser einmal auf seine SSL-Protokolle testen.
Probiere am besten einmal einen anderen aktuellen Browser.

 

[gnoovy]

Hi Frogman,

eigentlich nicht. Ich nutze Windows 8.1 mit Firefox 35 und habe alle Patches installiert. Auch der IE hat das Problem, dass keine HTTPs-Verbindung mehr geht. Gleiches bei meinem iphone mit aktuellstem Ios. Die Testseite ergibt, dass ich TLS 1.2 verwende. Poodle sagt, dass ich nicht gefährdet sei...

Ich blicks net...

 

[Frogman]

Hast Du die SSL-Einstellung der DS verändert? Auf der oben verlinkten Webseite kannst Du auch Deine DS testen lassen, wenn sie über Port 443 aus dem Internet erreichbar ist.

 

[gnoovy]

nee die DS darf von außen nicht erreichbar sein. Könnte es sein, dass ich im Bereich Sicherheit - Zertifikat die Zertifikat exportieren muss und diese in meinem Browser integrieren oder hier ein neues erstellen muss?
An der DS selber hab ich nichts verändert. Nur die Updates eingespielt.

 

[Frogman]

Nein, exportieren und im Browser importieren musst Du nichts - man kann es machen, um die Warnung des Browser zu umgehen, die immer dann kommt, wenn das DS-Zertifikat von einer Root-CA signiert wurde, welche nicht im Vertrauensspeicher des Browsers liegt.
Ansonsten kommt halt die Warnung eines nicht vertrauenswürdigen Serverzertifikats, welche man dann wegklicken kann (und diese Bestätigung bei einigen Browsern als Ausnahme auch speichern kann).

Wenn Du bei den SSL-Einstellungen und auch dem Zertifikat der DS nichts verändert hast, sollte der Zugriff allerdings kein Problem darstellen. Hast Du einmal andere Browser bzw. auch Versionen probiert? IE10? Ältere FF?

 

[gnoovy]

ok dann werde ich das mal machen. Wie führe ich denn auf dieser Website den Test mit der WAN-IP durch?

 

[Frogman]

Ich habe gerade nochmal geschaut - das geht dort doch nicht mit IP (nur mit Domains und passendem Zertifikat).

SSL-Tests kannst Du aber auch lokal bspw. mit SSLyzehttps://www.google.de/url?sa=t&rct=...UVrx3t5suYL92TvqLU5C_qA&bvm=bv.84349003,d.d2s durchführen.

 

[gnoovy]

Hi Frogman,

ich glaube wir kommen der Sache näher. Habe sslyze unter centos7 ausgeführt und bekomme mittels ./sslyze.py <ip-adresse DS>:443 die Meldung =>WARNING: rejected, discarding corresponding tasks. Also doch ein Problem der DS irgendwo?

 

[Frogman]

Kannst Du mal https in den DSM-Einstellungen deaktivieren, neustarten und danach wieder aktivieren?

 

[gnoovy]

leider gleiches Verhalten...

Es gibt ja noch die Option gesicherte Verbindung erzwingen. Könnte die noch was helfen?

 

[Frogman]

Damit sperrst Du Dich u.U. aus, würde ich nicht aktivieren.
Hast Du https unter Webdienste auch aktiviert? Kannst Du mit https://IP_der_DS/photohttps://IP_der_DS/photo auf die Photostation zugreifen?

 

[gnoovy]

die photo station habe ich nicht installiert. Aber selbst wenn ich die URL eingebe, erscheint das Gleiche im Firefox.

 

[Frogman]

"Das gleiche" - heißt was?

Hast Du irgendeinen Webdienst laufen?

 

[gnoovy]

Hi Frogman,

bisher nicht. Ich hab momentan nur die Audiostation am Laufen. Wobei ich mich dann frage weshalb ich die Webstation aktiviert habe Die kann ich ja dann eigentlich deaktivieren oder? Soll ich für den nächsten Test mal die Photostation installieren? Also wenn ich den Link zur theoretisch vorhandenen Photostation von dir bei mir aufrufe, zeigt mir Firefox wieder die Fehlermeldung ssl_error_no_cypher_overlap an.

 

[g202e]

die DS darf von außen nicht erreichbar sein.

Was willst du denn mit SSL im eigenen Lan? (Wer keine Probleme hat, der macht sich welche, oder was?)

 

[Frogman]

@g202e
Es gibt auch Multi-User-LAN wie bspw. Wohngemeinschaften o.ä., wo SSL sehr wohl Sinn macht

 

[g202e]

Davon war aber hier bisher nicht die Rede! Wenn dem doch so sein sollte, dann zitieren wir mal den Albert aus deiner Signatur...

 

[Frogman]

Niemand muss sich doch dafür rechtfertigen, warum er im LAN SSL einsetzt, oder? Und für das eigentliche Problem spielt der Grund keine Rolle.

 

[g202e]

Wir könnten das jetzt hier noch tagelang diskutieren; es würde nichts bringen! Wenn SSL nicht wirklich NOTWENDIG ist, läuft das unter dem Motto, welches ich in #16 in Klammern gesetzt habe.
Wenn es nicht wirklich notwendig ist, hat er nämlich (eigentlich) KEIN Problem sondern Langeweile!