Note Station und LetsEncrypt

Status
Für weitere Antworten geschlossen.

immoteb

Benutzer
Mitglied seit
08. Mai 2013
Beiträge
89
Punkte für Reaktionen
0
Punkte
0
Wie geht ihr eigentlich mit dem Zertifikatswechsel bei LetsEncrypt um? Bei meinen Note Apps (Desktop und Handy) kommt es regelmäßig zu dem Problem, dass die Software einfach nicht mehr auf das NAS synct. Ich vermute hier als Ursache des Problems den Wechsel des Zertifikates. Schön wäre es hier, wenn die Apps wenigstens warnen, wenn es Probleme beim syncen gibt.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
796
Punkte für Reaktionen
15
Punkte
44
Hallo,
Das ist richtig, es liegt am Wechsel des Zertifikats. Abgesehen von ds Note melden sich die anderen Apps wenn das Zertifikat erneuert wurde. Nur bei DS Note musst du einmal bewusst auf synchronisieren klicken damit das neue Zertifikat akzeptiert wird.
Man könnte diesen Umstand Mal bei Synology melden.
 

immoteb

Benutzer
Mitglied seit
08. Mai 2013
Beiträge
89
Punkte für Reaktionen
0
Punkte
0
Das habe ich versucht, bzw ich bin noch dran. Die erste Antwort vom Support war sinngemäß "wenn mir das LetsEncrypt nicht gefällt, kann ich ja auch ein Zertifikat kaufen". Fand ich jetzt wenig befriedigend...
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
796
Punkte für Reaktionen
15
Punkte
44
Okay:confused:
So sollte die Reaktion von Synology nicht sein.wenn sie eine Unterstützung für LE anbieten sollten auch Anregungen zumindest ohne zu murren angenommen werden
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.371
Punkte für Reaktionen
1.188
Punkte
234
Ich habe das auch schon einmal angemängelt. Ich komme damit ja zurecht, aber die mobilen Apps meiner Eltern funktionieren halt irgendwann nicht mehr. Ich möchte ihnen ja auch nicht beibringen, Zertifikatswarnungen einfach zu übergehen (bzw. DS Photo soll einfach im Hintergrund die Fotos hochladen - sie wundern sich dann nur, dass die letzten Bilder nicht übertragen wurden).

Dass über den geänderten Fingerprint gemeckert wird, sofern "Zertifikat verifizieren" aktiviert ist, ist verständlich. Aber spätestens wenn man das deaktiviert, sollte keine Fehlermeldung mehr erscheinen. Echt nervig (zumal das Zertifikat ja vertrauenswürdig ist!). Ich wollte schon lange mal erneut ein Ticket eröffnen - es wird Zeit …
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
796
Punkte für Reaktionen
15
Punkte
44
Ja dann werde ich die Tage auch mal ein Ticket aufmachen.
Ich Handhabe das im Moment so, dass ich alle drei Monate eine vorgefertigte Mail an meine ü60 Nutzer schicke. Bitte Apps öffnen und wie alle drei Monate...........
Irgendwie auch keine Lösung, aber damit leben wir im Moment.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.371
Punkte für Reaktionen
1.188
Punkte
234
Sehr geehrter Kunde,

vielen Dank für Ihre Nachricht.

Entschuldigen Sie bitte die späte Rückmeldung, aber momentan haben wir ein sehr hohes Ticketaufkommen.

Das Verhalten ist momentan normal und "by design" laut unserer Entwicklung. Das Zertifikat wird trotz nicht aktivierter Zertifikatsüberprüfung vom Client mit dem NAS abgeglichen. Da sich das Zertifikat in der Zeit auf dem NAS geändert hat, ist die Meldung wegen des Fingerprints also folgerichtig auch korrekt.

Gerne werde ich aber Ihre Anfrage als Funktionswunsch an unsere Entwickler weiterleiten. Ob und wann das Verhalten in Zukunft geändert wird, kann ich Ihnen leider nicht mitteilen.

Sollten Sie weitere Fragen oder Probleme haben, helfe ich Ihnen gerne weiter.

Ich hatte (leider) mit nichts anderem gerechnet …
Hier wird nur die Menge der Tickets eine Änderung herbeiführen können.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ich hatte zu dem Thema vor gefühlt zwei Jahren beim Umstieg auf DSM 6 schon ein Ticket geschrieben.

Natürlich ist eine Warnung korrekt (könnte ja auch ein fremdes untergeschobenes Zertifikat sein oder DNS-Spoofing etc), aber nicht mal die taucht zuverlässig auf, sondern die Programme stellen teilweise einfach ihre Arbeit ein. Das ist in meinen Augen das sträflichste an der Sache.

Das zweite ist, dass sie nur den Fingerprint einblenden, dieser aber im DSM bzw. Browser teils wiederum nur über Umwege einsehbar und damit kontrollierbar ist.

Zudem sollte es für Synology wenn schon DS Apps mit dem DSM Kommunizieren, sie also alle Aktionskarten selbst in der Hand halten, nicht unmöglich sein eine Prüfung einzubauen.
Ist zugegeben vermutlich nicht ganz trivial da vermutlich nicht vorgesehen (die Browser zeigen ja keine Warnung, da könnte ich jeden Tag das LE-Zertifikat ändern und es wäre weiterhin ohne Warnung betreibbar, oder sie haben eine Prüfung so unauffällig eingebaut dass es mir noch nie aufgefallen sit). Aber wenn man schon keine Prüfung in der Art auf aktuelles und vorhergehendes Zertifikat machen kann, kann man eventuell prüfen, ob es immer noch die DS mit derselben Seriennummer ist z.B. (ob das ein Datenschutz-Problem wäre? wenn sich DS Apps nach der Installation und beim erstmaligen verbinden so einen HW-Fingerprint merken sollen. Zudem müsste er löschbar sein, falls eine App-Deinstallation/AppData löschen nachteilig für den Nutzer ist, und man aber trotzdem z.B. die DS hinter einer Domain tauschen will).

Vielleicht mal wieder Zeit für eine Auffrischung des Tickets. :)
 

stern

Benutzer
Mitglied seit
08. Nov 2015
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

auch ich muss hier mal meinen Senf dazu geben:

Zu diesem Theme hatte ich ein Ticket erstellt und ebenfalls so einen Blödsinn als Antwort bekommen.
Es folgte ein regen Schriftwechsel, Ergebnis: alles umsonst.
Synology ist es vollkommen gleich, ob ihre Software richtig funktioniert.
Was hier zählt ist nur, dass es viele Pakete gibt damit der Verkauf weiter läuft.
Jetzt aber wieder zum Thema:

Die Zertifikatsüberprüfung auf eine Änderung ist angeblich ein Sicherheitsplus.
Dabei ist dies vollkommen unnötig.
Auf meinen Hinweis, einfach nur die gültigkeit des Zertifikates zu prüfen wurde nicht eingegangen.
Auch meinen Vorschlag, diese Änderungsprüfung optional abschaltbar zu machen und nur eine Gültigkeit zu prüfen wurde abgelehnt.
Fakt ist:
alle gültigen Zertifikat, ob bezahlt oder nicht, haben nur eine bestimmte Laufzeit und müssen früher oder später erneuert werden.
Demnach kommt dieses Problem auch regelmäßig zum Vorschein.
Das mag ja nicht so schlimm sein wenn man nur ein oder zwei Benutzer hat.
Aber was ist wenn es mehrere sind?
Übrigens: wenn man einen Windos-Client einsetzt, dann muss man zusätzlich auch noch wieder das Passwort des Kontos eingeben.

Das ist mal wieder ein ganz mieser Service von Synology
Genau so wie man es in letzter Zeit gewohnt ist.
Echt schade.

Grüßle starbyte
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat