HTTP vs. HTTPS intern / extern 🤯

[mito_01]

Hallo liebe Community,

ich brauche eure Hilfe: Ich bin, was Server-Verwaltung / NAS angeht ein Anfänger, deshalb entschuldigt, falls meine Frage keinen Sinn macht

Ich hab eine Synology eingerichtet und greife ausschließlich innerhalb meines WLANs auf diese zu. In der Regel einfach über den Browser ( https://192.xxx.xxx.xx:5001 ). Nun war das Synology-Zertifikat abgelaufen, und ich habe mal ganz naiv auf "renew" geklickt.

Seitdem komme ich über Arc (Chrome basiert) nicht mehr auf meine DS. In Safari klappt das wunderbar, in Arc dagegen bekomme ich eine Warnung, welche mich nicht weiter lässt (auch nicht, wenn ich auf "weiter Infos.." klicke).



Das Zertifikat sieht in Safari so aus:



Über http ( http://192.xxx.xxx.xx:5000 ) komme ich auf mit Chrome auf meine DS.

Nun die Fragen:

Warum komme ich über Safari ( https://192.xxx.xxx.xx:5001 ) auf meine DS, über Chrome aber nicht?

Ist es für den Zugriff innerhalb meines WLANs/LANs relevant, ob ich http oder https nutze? Wie gesagt Zugriff erfolgt nur zu Hause oder per Wireguard VPN auf meiner Fritz!Box, wobei ich dann ja praktisch auch in meinem WLAN bin.


Ich hoffe, ihr könnt mir helfen


Vielen Dank!!

 

[alexhell]

Zertifikate sind immer nur düe FQDNs. Das heißt es kam immer die Meldung schon. Du kannst kein Zertifikat für deine IP bekommen.

 

[plang.pl]

Ist es für den Zugriff innerhalb meines WLANs/LANs relevant, ob ich http oder https nutze?

Naja wenn du keine Leute in deinem LAN / WLAN hast, denen du nicht traust, kannst du auch http nutzen.

 

[mito_01]

Zertifikate sind immer nur düe FQDNs. Das heißt es kam immer die Meldung schon. Du kannst kein Zertifikat für deine IP bekommen.

Korrekt, ich erinnere mich, dass ich das "wegklicken" konnte, dies geht jetzt (zumindest bei Chrome) nicht mehr :/

Ich habe versucht eine passende Lösung zu finden, um ein Zertifikat zu bekommen und bin bei einer Anleitung gelandet, welche den Synology DynDNS Dienst einrichtet und dabei ein Zertifikat von Let's Encrypt hinzufügt. Nur möchte ich ja eigentlich gerade nicht, dass die DS auch von extern erreichbar ist.

Habt ihr eine anfängertaugliche Anleitung zur Hand, wie ich sonst innerhalb meines WLANs über https auf meine DS zugreifen kann?

 

[plang.pl]

Yes: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/ Das ist die "erweiterte Lösung". Einfacher geht es auch: Einfach den DynDNS auf die interne IP zeigen lassen: https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/

 

[mito_01]

Vielen Dank, das schau ich mir heut Abend mal genauer an!!!

 

[Thonav]

Du brauchst kein Zertifikat, da Du nur in Deinem eigenen Netz bist. Einfach die DS mit http://deineip:5000 reicht und funktioniert ohne Einschränkungen.

 

[mito_01]

ok, danke! Worst case und mir hackt einer das Wifi könnte er aber dann mitlesen, oder? Macht https dann nicht doch irgendwie trotzdem Sinn?

Viele Grüße!

 

[plang.pl]

könnte er aber dann mitlesen, oder?

Yes

 

[66er]

mir hackt einer das Wifi könnte er aber dann mitlesen,

Ein starkes WLAN-Passwort vorausgesetzt, eigentlich sehr unwahrscheinlich.

 

[mito_01]

Ein starkes WLAN-Passwort vorausgesetzt, eigentlich sehr unwahrscheinlich.

da gebe ich dir recht, nur nerven mich ehrlich gesagt auch die Meldungen und Arc macht ja sogar komplett dicht. Deshalb werd ich die oben genannten Methoden mal austesten...

 

[Ulfhednir]

Du kannst kein Zertifikat für deine IP bekommen.

Zumindest nicht mehr über die DSM-GUI. In früheren DSM-Versionen konnte man nämlich durchaus noch ein selbst signiertes, IP basiertes Zertifikat erstellen. Das hat man irgendwann zu Gunsten von Lets Encrypt wegrationalisiert. Trotzdem geht das prinzipiell noch.
OpenSSL ist weiterhin in DSM eingebettet. Ein wenig Magie auf der Shell, et voila - fertig ist das 10 Jahre gültige Zertifikat.

 

[plang.pl]

...das aber dennoch vom Client nicht als vertrauenswürdig anerkannt wird...

 

[maxblank]

Worst case und mir hackt einer das Wifi könnte er aber dann mitlesen

Yes

Das ist so vereinfacht dargestellt nicht korrekt. Du bist ja als Client in deinem WLAN drin und angemeldet. Dann lese mal von einem anderen Gerät im WLAN den Datenverkehr aus und dann schreiben wir nochmals drüber.