Wofür SSL Zertifikat

Status
Für weitere Antworten geschlossen.

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Hallo,

also ich habe eine DS713+, zur Zeit betreibe ich das Gerät überwiegend im Lokalen Netz. Der Zugang geschieht über eine Zwei Stufen Authentifizierung. Nun möchte ich den Zugang auch übers Internet ermöglichen und habe mich an die Videos von Idomix gehalten. Gestern habe ich nun versucht ein Zertifikat von Let's Encrypt zu bekommen aber leider wurde mir folgende Meldung angezeigt, "die maximale Anzahl von Zertifikatsanforderungen wurde für diesen Domainnamen erreicht" Eine andere Möglichkeit ein kostenloses Zertifikat zu bekommen gibt es anscheinend nicht, außer die für 30 Tage.
Allerdings leuchtet mir bisher nicht ein wofür ich ein Zertifikat genau brauche außer das mir die Fehlermeldung von Browser nicht mehr gezeigt wird. Ich habe doch eine zweistufen Authentifizierung und ich würde evtl. auch über VPN reingehen. Was für Vorteile bietet mir ein Zertifikat????
Ich hoffe ihr könnt mir eine verständliche Erklärung geben, da ich sie bisher nicht gefunden habe.

Gruß
Dimmi
 

Drausi

Benutzer
Mitglied seit
27. Jan 2014
Beiträge
231
Punkte für Reaktionen
9
Punkte
24
Bei https geht es ja auch nicht um den Login, sondern um die Daten die geschickt werden.

Mit dem „HyperText Transfer Protocol Secure“ (HTTPS) wurde im Jahre 1994 der erste Schritt in Richtung Datensicherheit unternommen. Die zu übermittelnden Daten werden dank HTTPS auf 128- oder 256-bit-Stufe verschlüsselt, ohne dass es zusätzliche Software auf dem Rechner braucht. Weiter prüft HTTPS, ob die Identität des Partners stimmt.

SSL kommt bei der Verbindung via HTTPS-Server zum Einsatz. Werden die technischen Details vereinfacht, arbeitet SSL so: Eine zweite Verbindung („SSL Record Protocol“) schiebt sich über die bestehende Leitung. Es handelt sich um ein reines Aufzeichnungsprotokoll, das die Verschlüsselung zwischen zwei Rechnern regelt und gleichzeitig überprüft, ob die Daten, die auf der Anwenderseite eingegeben wurden, genau so auf der Anbieterseite ausgegeben werden. Aus den gesendeten Daten werden in regelmäßigen Abständen Prüfziffern errechnet und angefügt. Dieser Wert wird an beiden Enden einer Verbindung wieder abgeglichen.

Bevor aber die Daten ausgetauscht werden, sorgt das „SSL Handshake Protocol“ für die Übermittlung persönlicher Identifikationsdaten von den Teilnehmern. Es handelt weiter das Fragmentierungs- und das Verschlüsselungsverfahren aus, welches bei der Verbindung Anwendung finden soll. Oder einfacher ausgedrückt: Die beiden beteiligten Rechner einigen sich auf einen Code und auf eine einheitliche Größe für die zu übermittelnden Datenpakete. Jetzt fließen codierte Informationshäppchen durch den Äther von symmetrischen Algorithmen: Der Empfangsrechner decodiert, setzt zusammen und macht die Informationen für den User lesbar.

Das SSL-Zertifikat tritt während des „Handshakes“ in Erscheinung: Der digitale Personalausweis wird von einer Zertifizierungsstelle (Certificate Authority, CA) ausgegeben und durch einen öffentlich zugänglichen Signaturprüfschlüssel einer Person oder einer Organisation zugeordnet. Die Zertifizierungsstelle beglaubigt diese Zuordnung dadurch, dass sie das Zertifikat mit ihrer eigenen digitalen Unterschrift absegnet. Wird also ein bestimmter Code verwendet, kann durch die Zusammensetzung des Codes eindeutig hergeleitet und bestätigt werden, wer diesen Code nutzt.
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Hallo und vielen Dank für deine Antwort,

ich habe das jetzt so verstanden dass das Zertifikat nur überprüft ob der Anwender sicher ist oder nicht. Wenn ich mich aber von extern mit einer Zwei Stufen Zertifizierung anmelde dann entfält doch die Notwendigkeit eines SSL Zertifikates. Die Diskstation lässt ja auch keine Anmeldeverfahren zu.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Also nochmal zum grundlegenden Verständnis:

Wenn Du ne Zwei-Stufen-Authentifizierung im lokalen Netz machst, dann ist das eher nen übelster Aufwand, welcher in keiner Relation zu anstehenden Gefahren steht! D.h. auf gut Deutsch in Deinem eigenen Netz, könnten also maximal Deine Kollegen / Familienmitglieder / Freunde / Bekannten als Haker in Frage kommen, vor denen Du Dich hier mit einer Zwei-Stufen-Auth schützt!

Wenn allerdings der Zugriff von Extern dazu kommt, dann ist eine Zwei-Stufen-Auth sehr wohl ein guter Schutzmechanismus! Denn machst Du Deine DS nach außen hin auf, dann kann natürlich Ching und Chong, wie auch Ivan und Aljoscha zumindest die Eingangstür sehen und die Brechstange mal ansetzen!

Zum SSL:

SIeht man einmal die Eingangstür, dann kann ein guter Schnüffler sich auch gut an selbige stellen und warten bis bei Dir mal irgendein erlaubter/bekannter User ankommt und sich anmeldet! Bei http / ftp oder einem anderen Service (den Du vielleicht anbietest) werden dann die Benutzer und Passwörter in "klar" übermittelt - d.h. das Schnüffel-Tool des Schnüfflers sieht in dem Moment "ahhh, da kommt ein Herbert mit dem Passwort Login1234" und schwupps kann der Schnüffler diese Kombination paar Stunden später nochmal selbst benutzen!
Du und Deine DS denken in dem Moment ja nur "ach Tach Herbert, biste schon wieder da? Ja los, komm rein!"

Benutzt Du allerdings nen Zertifikat und die Anmeldungen werden über https / (s)ftps / oder einen anderen verschlüsselten Service abgehalten, dann sieht ein Schnüffler quasi in den erschnüffelten Datenverkehr nur "ahh da kommt jetzt j20cn39nt94593cn2#rp mit Passwort grrsztfnb"

:(


Fazit: Jetzt wo es einfach ist nen kostenloses Zertifikat zu beantragen und jemand den Plan hat seine DS unbedingt nach außen hin zugänglich zu machen, sollte (nein vielmehr) MUSS der ganze Service nach außen hin auf verschlüsselter Linie abgehandelt werden! Von mir aus auch noch mit Zwei-Faktor-Auth dazu.
Das gehört dann einfach bei der "Den-Hackern-Aufs-Dämliche-Maul!" Strategie dazu!
 
Zuletzt bearbeitet:

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
ok, verstanden, manchmal hat man auch einen knoten im Kopf. Also ist mein zugewinn bei einem Zertifikat dass meine Daten die ich eingebe verschlüsselt sind und keiner die im Klartext lesen kann.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Also, für die Sicherheit spielt es keine Rolle, ob du ein beglaubigtes Zertifikat benutzt oder ein selbst signiertes. Die Leitung/Übertragung ist in jedem Fall gesichert!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
ok, verstanden, manchmal hat man auch einen knoten im Kopf. Also ist mein zugewinn bei einem Zertifikat dass meine Daten die ich eingebe verschlüsselt sind und keiner die im Klartext lesen kann.

Nein! Die Daten sind auf jeden Fall auch verschlüsselt. Sobald die https-Verbindung steht, ist auch die Verbindung verschlüsselt. Ganz gleich, welches Zertifikat du benutzt!
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
ok, das wusste ich jetzt nicht auch nicht das ich ein Zertifikat selber erstellen kann, ich hatte bisher nur eine Anleitung für Windows Server gefunden.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Fazit: Jetzt wo es einfach ist nen kostenloses Zertifikat zu beantragen und jemand den Plan hat seine DS unbedingt nach außen hin zugänglich zu machen, sollte (nein vielmehr) MUSS der ganze Service nach außen hin auf verschlüsselter Linie abgehandelt werden!

Ist er ja auch, sofern du https nutzt. Dass dazu zwingend ein offizielles Zertifikat genutzt werden muss, ist schlicht falsch.
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
na ja ein offizielles Zertifikat kostet auch, dank Let´s Encrypt gibt es ja auch kostenlose, leider habe ich mit Selfhost kein Glück gehabt. Werde nun versuchen mir eins über OpenSSl zu erstellen.

Jetzt habe ich zumindest das Wissen, dank euch, was ich überhaupt damit anstelle.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ich bin kein Freund von Lets Encrypt und nutze daher selbstsignierte Zertifikate. Wenn Du das Zertifikat einmal als vertrauenswürdig eingestuft hast gibt es keinen Unterschied in der Anzeige oder im Handling.
Wenn Du allerdings Dienste für Fremde anbietest sieht das Ganze anders aus.
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
es geht ja bei mir auch nicht mehr mit Lets Encrypt, aber habe gerade geschaut wie man ein Zertifikat selbst erstellt, aber das ist wohl nicht ganz so einfach zumindest für einen Laien. Hast du eine Software dafür oder hast du das mit openssl gemacht?
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Geht doch über die GUI im DSM.
Ich habe eine eigene CA auf meinem Router erstellt und signiere damit alle meine Zertifikate. Durch die Vertrauensstellung der CA werden dann alle signierten Zertifikate als vertrauenswürdig eingestuft.
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
hmmm, wusste nicht dass es darüber geht. Danke für die Info
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ja, einzelnes selbstsigniertes Zertfikat geht problemlos. Nur jedesmal, wenn Du ein neues erstellst wird auch ein neues CA-Zertifikat erstellt. Also einfach lange Laufzeit wählen und gut ist.
 

Dimmi

Benutzer
Mitglied seit
03. Apr 2016
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Ja, einzelnes selbstsigniertes Zertfikat geht problemlos. Nur jedesmal, wenn Du ein neues erstellst wird auch ein neues CA-Zertifikat erstellt. Also einfach lange Laufzeit wählen und gut ist.

Also ich habe jetzt verstanden wofür ein Zertifikat notwendig ist, aber nun verwirren mich die Aussagen, einzelnes oder, wenn du ein neues CA-Zertifikat erstellst. :) ich glaube ich sollte zu dem Thema bei der VHS ein Seminar besuchen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Nochmal ich:

Mit einer DS ist es jetzt Pardon "schweine-einfach" ein Zertifikat bei Let's Encrypt zu besorgen! Das geht alles auf Knopfdruck! Vorraussetzung ist nur das Laufen eines Webservers auf der DS. (korrigiert mich wenn ich da falsch liege).
Unter Systemsteuerung - Sicherheit - Zertifikat kann man mit Angabe der (Sub-)domain (z.B. dimmi.synology.me) und einer eMail Adresse einfach ein Zertifikat ordern! Let's Encrypt guckt dann in den Sekunden während des Beantragens, ob es unter der Domain ein Webserver gibt und stellt bei Verfügbarkeit dieses Zertifikat aus!
Dann startet der Webserver neu und die DS wäre dann unter https://dimmi.synology.me verschlüsselt zu erreichen!

Manchmal kommt -wie oben schonmal erwähnt- eine Fehlermeldung, dass schon zuu viele Subdomains von dieser Domain beantragt wurden. Dann einfach nochmal am Anfang der kommenden Woche bzw. am Anfang des kommenden Monats versuchen! Irgendwann sollte die Beantragung dann klappen!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Das bezweifelt doch auch niemand ... :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat