HTTP vs. HTTPS im Intranet. Sicherheitsmeldung unvermeidbar? Kein Zertifikat ohne DDNS-Server möglich?

[YosPoto]

Liebes Forum,

ich habe trotz länderer Recherche weiter ein Verständnisproblem beim Betrieb meiner DS218+ im Intranet.

Kern des Problems ist, dass bei HTTPS-Verbindungen im Intranet zu meiner DS immer die Sicherheitsmeldungen zu einem fehlenden Zertifikat auftauchen.

Es ist so, dass ich aus Sicherheitsgründen weder QuickConnect noch einen DDNS Server verwenden möchte. Von extern wähle ich mich ausschließlich via VPN meiner Fritzbox ins Heimnetz ein. Das heißt aber scheinbar, dass ich kein Zertifikat hinterlegen kann, welches von z.B. FireFox akzeptiert wird. Ich habe zwar initial via Let'sEncrypt ein Zertifikat erstellt, aber wenn ich mich nicht über den DDNS-Server grundsätzlich einlogge sondern intern zugreife, kann FireFox das nicht als sicher identifizieren.

Ich verstehe es aber so, dass auch für die Kommunikation im Intranet grundsätzlich eine HTTPS Verbindung empfohlen wird. Der Datenverkehr muss ja im Intranet nicht völlig unverschlüsselt laufen.

Sehe ich das aber richtig, dass ich bei bewusstem Verzicht auf einen DDNS-Server im Intranet nicht via HTTPS auf die DS zugreifen kann, ohne dass FireFox etc. mir jedesmal eine Warnmeldung schicken?

Ich bin entweder für eine Lösungsidee zu dem Problem oder alternativ für eine Betsätigung des Problems dankbar.

Möglicherweise muss ich wohl im Intranet dann auf HTTPS verzichten, da diese Warnmeldungen sehr nervig sind.

Vielen Dank für eine Hilfe hierzu.

Gruß,

YP

 

[NSFH]

DDNS hat nichts mit Zertifikaten zu tun sondern sorgt bei dynamischer IP von deinem Provider dafür, dass du im Internet auffindbar bist.
Hier gibt es kein Sicherheitsproblem! Wenn du eine feste IP hast brauchst du weder DDNS noch Quickconnect.
Dein Zertifikat hängt an einer registrierten Domain, wobei du dann für das Intranet eher eine Subdomain nutzen solltest. Den Namen der Subdomain hat dann auch deine Syno.
Interne HTTPS Anfragen schickt man auch nicht ins Internet sondern fängt diese im Router ab und leitet sie an die Ziel-IP weiter.

 

[the other]

Moinsen,
du wirfst da einige Dinge durcheinander bzw. vermischt Konzepte, wie es ja bereits bei @NSFH anklang....
In sehr kurzer und stark vereinfachter Form:

1. DDNS oder auch DynDNS (oder bei AVM myFritz) dienen in erster Linie dazu, dass du von extern kommend dein Heimnetz mit wechselnder öffentlicher IP immer wieder findest. Stell dir vor, dein Haus hat ne Adresse, diese wechselt aber im öffentlichen Verzeichnis immer wieder. Damit du jetzt nicht völlig verloren stundenlang die Stadt abfahren musst auf der Suche, gibt es eine Art Verzeichnis, anahnd dessen du auch bei wechselnder Adresse immer wieder nach Hause findest, wenn du "meineHaustür.com" eingibst. Das hat mit nem Zertifikat erstmal nix zu tun.

2. htttps verschlüsselt den Datentransfer zwischen dir und der Seite, die du mit https://usw. besuchst. Damit du aber auch sicher sein kannst, dass du mit dem richtigen Server (und der richtigen Seite) verbunden bist via https, wird ein Beweis angefragt. Mit diesem Beweis (Zertifikat) weist der angefragte server nach, dass er auch der richtige ist (und nicht ein seeeehr ähnlich klingender server, der dich stattdessen auf eine Phishing-Seite umleitet).

3. Wenn du also (egal ob intern oder extern) auf https Seiten gehen willst, dann muss das zugehörende Zertifikat (oder zusätzlich die das Zertifikat ausstellende Stelle) bekannt sein im Browser oder auch Betriebssystem, sonst kommt eben der Hinweis: "die Seite sagt, sie sei verschlüsselt und genau die Seite, die du sehen willst, das kann aber nicht verifiziert werden, also Risiko möglich" Also musst du Zertifikat und zertifikat-ausstellende Stelle (Certificate Authority / CA) bekannt geben. Dazu wird dann meist ein Zertifikat angelegt und dann dieses und die CA dem Browser bekannt gemacht (importiert).

4. Wenn du https auch für im www erreichbare Seiten nutzt, dann musst du eine anerkannte CA nutzen (etwa LetsEncrypt usw), denn nur diese gelten eben auch im www als vertrauenswert. Wenn du dagegen https NUR UND AUSSCHLIEßLICH im eigenen Heinnetz nutzen willst (oder via VPN zugreifen willst darauf), dann kannst du dir diese CA und die Zertifikate auch selber anlegen. Hier kannst du dann auch im Zertifikat statt domains mit IPs arbeiten (geht NUR im eigenen Netzwerkbereich!!). Da du damit quasi deine eigene CA erstellst, ist die den Geräten im www nicht bekannt und (da das ja jeder machen kann, einfach so) wird diesen auch nicht vertraut. Wie gesagt, nur für den Heimbereich kein Ding. Du baust dir also eigene CA und Zertifikate, hinterlegst diese im NAS, machst sie dem Browser bekannt und Schluss mit Sicherheitswarnungen. Alternativ nutzt du das bereits vorhandene Zertifikat von synology, welches auf dem NAS bereits vorhanden ist oder machst (so du denn sicher bist, dass du dem https-Server vertraust) eine Ausnahmeregel im Browser.

Wie gesagt, stark vereinfachte Erklärung. Lies dich mal ein.

 

[ottosykora]

Intern kann man doch was auch immer für einen selfsigned verweden. Entweder das bereits vorhandene in Syno oder eines selber erstellen.
Und wenn es einem mühsam ist eine Ausnahme im Browser hinterlegen, kann man doch auch den Zertifikat und der 'CA' Zertifikat in alle Browser und Rechner im Netz importieren.

 

[ottosykora]

...und wenn ich es in windows importiere, dann funktioniert auch Webdav über https und ähnliches problemlos

 

[YosPoto]

Vielen Dank für die vielen Antworten bis hierhin. Und wie ich schon eingangs schrieb, es ist vor allem ein Verständnisproblem. Allerdings habe ich mein Halbwissen aus dem Synology Tutorial zu dem Thema und dort wird mein Szenario (nur Intranet und VPN) nicht beschrieben.

Das via Synology erstellte Zertifikat von Let's Encryp gilt ja nur für den DDNS Server von Synology.

Also muss ich mir wohl ein eigenes Zertifikat erstellen.

@ottosykora: welches bereits vorhandene Zertifikat der Synology meinst Du denn?

Wenn ich mir mit der Synology ein eigenes signiertes Zertifikat erstelle, z.B. für meine eigene Domain.local, dann lässt mich der FireFox Browser die exportierte PEM-Datei nicht als Zertifikat importieren, weil ich angeblich den Schlüssel dazu nicht hätte.

Ich scheine hier wohl ein sehr individuelles Problem zu haben, welches für mich ne Nummer zu groß ist. Auch Google hilft mir da nicht so richtig weiter. Auf jeden Fall habe ich mich aber gefreut, dass an Weihnachten so viele geantwortet und sich wirklich Mühe gegeben haben.

Gruß und guten Rutsch Euch allen.

YP

 

[ottosykora]

In jeder Syno ist ein selfsigned schon drin. Das kann man exportieren und wo anders importieren.
Zu sehen unter Systemsteuerung/Sicherheit/Zertifikate, heisst synology.com und ist default bei der Installation.

diesen kannst du auch exportieren und in Betriebssystem oder Browser importieren und SSL geht.
Beachte es gibt dabei 2 Sachen , ein ist der Zertifikat der 'CA', eines dann der Server Zert.


>Das via Synology erstellte Zertifikat von Let's Encryp gilt ja nur für den DDNS Server von Synology.<
das kommt darauf an wer der Eigentümer der Domain ist. Ist es ein anderes DDNS als Synology, dann wird es auf das erstellt.

 

[ottosykora]

Hmm, habe gerade verifizieren wollen ob das mit dem selfsigned und ev auch IP Nummer im Namen noch funktioniet und stelle fest dass dies alles nicht so einfach von den Browsern akzeptiert wird. Während all die 'alten' selfsigned, also die mit der langen Lebensdauer immer noch von den Browsern angenommen werden, sind die jetzt frish erstellten selfsigned nicht brauchbar, Firefox bringt damit den Zert Store durcheinender, danach gar keine Möglichkeit mehr sich mit den Geräten zu verbinden auch wenn die online Prüfung abgestellt ist.

Andere Browser welche mit dem Windows Zert Store arbeiten, können es auch nicht verwenden, auch wenn windows das Zert annimmt.

Was ist neu ausser dass auch die selfsigned auf 1 Jahr begrenzt sind?

 

[ottosykora]

Falscher Alarm Jungs, Fehler war bei mir sorry
Habe einfach zu viele Zert auf de Testsystem.

Jetzt geht es mit windows und Firefox
Zertifikat ausgestellt von 192.168.40.xx (CA) und für 192.168.40.35 (DS selber)

alle Schlösser voll da