DSM 6.x und darunter Zertifikatsfehler - kein Zugriff möglich

[Itaka]

Hallo

kann bei einem Freund nicht in meinen DSM einloggen, weil nach Eingabe der Webadresse zu meinem DSM ein Zertifikatsfehler gemeldet wird, der sich nicht wegputzen lässt.
Warum gibt es bei der DSM Webseite immer wieder Warnungen wegen Zertikatsfehler, wie kann ich das verhindern?
Windows 8.1 Bing Browser IE 11 automatische Updates aktiviert.
Ein anderer Browser ist unerwünscht, weil nur der IE synchronisiert die Favoriten automatisch über die Cloud mit dem Windows Handy.

Wie löst man diese lästige und immer wieder auftauchende Problem an der Wurzel?

Itaka

 

[g202e]

Ein anderer Browser ist unerwünscht, weil nur der IE synchronisiert die Favoriten automatisch über die Cloud mit dem Windows Handy

Du hast gleich zwei Probleme: Ein Betriebssystem, welches nie über das Beta-Stadium hinauskommen wird und dann noch einen ziemlich miesen Browser.
Dass es keinen anderen Browser gibt, welcher die Favoriten zu einem Windoof Phone synchronisieren kann, halte ich für ein Gerücht. Ohne dir jetzt den FF aufdrängen zu wollen: Der sollte das garantiert beherrschen und bei dem kann man mit 3 Klicks eine Ausnahme für das selbsterstellte Synology-Zertifikat erstellen.
Wenn du das nicht willst, bleibt wohl nur, ein eigenes Zertifikat zu kaufen. Ob du damit allerdings den Krüppelbrowser "überzeugen" kannst, bleibt abzuwarten...

 

[Frogman]

...ein Zertifikatsfehler gemeldet wird, der sich nicht wegputzen lässt.

Etwas detaillierter bitte.

 

[Itaka]

Hallo Frogman
Ich habe den DDNS Dienst i234.me verwendet und damit kam die Meldung "Ein Zertifikatsfehler deute auf eine unzuverlässige Webseite hin" Ich habe in diesem Fall nur die Möglichkeit die Registerkarte zu schliessen. Ich habe im IE unter Internetoptionen Sicherheit die genaue Webseitenbezeichnung als Zulassen eingetragen, aber das hat nichts genutzt.
Eigentlich finde ich es hoch seriös von IE dass er Seiten mit unsicheren Zertifikate ablehnt, aber in diesem Zusammenhang ist es natürlich lästig.
Bei allem was ich lese, müsste der DDNS Dienst von Synology ein fehlerfreies Zertifikat mit liefern.

Itaka

 

[Itaka]

Hallo g202e

ich bin hoch dankbar für konstruktive und hilfreiche Antworten zu meiner Frage. Auf Schlechtmacherei und Hasstiraden gegen Marken in der IT Technik möchte ich lieber verzichten.

Itaka

 

[Tommi2day]

Ein DDNS-Dienst liefert gewöhnlich kein Zertifikat, das muss man sich selbst besorgen/erstellen und auf dem Webserver einrichten.

Du brauchst ein Zertifikat, das folgende Bedingungen erfüllt:
1. Es wurde exakt für den aufrufenden (im Browser verwendeten) DNS Namen erstellt ,z.B. für myds.dyndns.com
2. Es muss zeitlich gültig sein
3. Es muss von einer vertrauenswürdigen Zertifizierungsstelle unterzeichnet sein

1.+2. bekommt man selber hin, das Problem ist meistens die vertrauenswürdige Zertifizierungsstelle. Man kann vertrauenswürdige Zertifikate kaufen oder man überzeugt Windows, das man dem Zertifikat von sich aus vertraut (Ausnahme erstellen oder das entsprechende Root Zertifikat in "Vertrauenswürdige Stammzertifizierungsstellen" importieren).

Für Java Applets muss man noch mehr machen.

 

[Frogman]

...Ich habe den DDNS Dienst i234.me verwendet und damit kam die Meldung "Ein Zertifikatsfehler deute auf eine unzuverlässige Webseite hin" Ich habe in diesem Fall nur die Möglichkeit die Registerkarte zu schliessen.

Ein ausgeliefertes Server-Zertifikat wird dann als vertrauenswürdig im Browser akzeptiert, wenn es zum Domainnamen passt, mit dem eine Seite aufgerufen wird, und dafür im Zertifikatsspeicher des zugreifenden Clients eine Vertrauenskette bis zu einem Root-Zertifikat existiert. Verwendest Du direkt einen DDNS-Namen, wird der Server dazu keinen passendes Zertifikat ausliefern können - im Regelfall liefert die DS das generisch erzeugte Synology-Zertifikat. Du musst dazu also ein eigenes Zertifikat erstellen lassen, dazu musst Du Eigentümer der dazugehörigen Domain sein, über die Du dann die DS aufrufst (der DDNS-Name wird dabei als CNAME-Record in den DNS-Einstellungen des Hosters hinterlegt).

Du brauchst ein Zertifikat, das folgende Bedingungen erfüllt:1. Es wurde exakt für den aufrufenden (im Browser verwendeten) DNS Namen erstellt ,z.B. für myds.dyndns.com...1.+2. bekommt man selber hin, das Problem ist meistens die vertrauenswürdige Zertifizierungsstelle.

Das ist so nicht möglich - Du wirst kein signiertes Zertifikat erzeugen können für einen DDNS-Namen, weil Du nicht Eigentümer der dazugehörigen Domain (bspw. dyndns.com) bist!

 

[Tommi2day]

Du wirst kein signiertes Zertifikat erzeugen können für einen DDNS-Namen, weil Du nicht Eigentümer der dazugehörigen Domain (bspw. dyndns.com) bist!

technisch ist das problemlos möglich. Man kann jedes beliebige Subject eintragen, weil die Domainprüfung erst von der Signaturstelle gemacht wird. Wenn man es selbst unterzeichnet, hat man sein Zertifikat mit dem gewünschten Namen. Nur ist dieses Zertifikat dann natürlich nicht vertrauenswürdig. Dafür braucht man dann die eigene Vertrauensstellung.

 

[Frogman]

Das es technisch möglich ist, habe ich nicht bestritten - es geht in diesem Thread aber um eine vollständige Vertrauenskette bis zu einem Root-Zertifikat, um keine Warnung in einem gewöhnlichen Browser zu erhalten. Alle anderen Gedankenspielchen sind da eher akademischer Natur und hilft dem TE in keiner Weise...

 

[Tommi2day]

Das Herstellen der Vetrauensstellung über den Import in die "Vertrauenswürdige Stammzertifizierungsstellen" ist ein Standardverfahren (z.B auch bei Admin-Tools großer Herstellern wie HP ILO und Oracle OEM) und keineswegs nur akademischer Natur. Und es sollte auch das Problem des TE lösen.

Man sollte natürlich wissen was man tut und sich immer daran erinnern, das Zertifikate auf Vertrauen basieren. Und auch mal die vom OS ungefragt aktivierten Root-Zertifikate hinterfragen. Aber das ist ein ganz anderes Thema.

My 2 cent

 

[Frogman]

Das Herstellen der Vetrauensstellung über den Import in die "Vertrauenswürdige Stammzertifizierungsstellen" ist ein Standardverfahren (z.B auch bei Admin-Tools großer Herstellern wie HP ILO und Oracle OEM) und keineswegs nur akademischer Natur. Und es sollte auch das Problem des TE lösen.

Was für die eigenen Clients, über die man die Hoheit hat, korrekt ist, wenngleich es zusätzliche Mühe und Einblicke erfordert. Doch hier greift der TE von einem fremden Rechner zu - in diesem Fall sollte man nicht davon ausgehen, dass man mirnichtsdirnichts dort einfach Root-Zertifikate hinterlegen kann/darf. Erst recht dann nicht, wenn man von anderen Rechner (deren Betreiber man nicht als Freund hat) zugreifen will. Ähnliche Probleme ergeben sich weiterhin bspw. bei Smartphones. Alles in allem bleibe ich bei meiner Ansicht, dass eine Eigensignierung einer DDNS-Domain bedeutungslos und akademisches Geplänkel ist.

 

[Itaka]

Vielen Dank für diese interessante Debatte, Dinge gibt es, von denen ich nicht mal ahne, dass man sie benennen kann, aber mit Verlaub gesagt, ich komme mir bei all diesen Ausdrücken vor wie der kleine Junge mit der Sandkastenschaufel in der Hand der zufällig die Tür eines universitären Hörsaales aufstösst und vor Staunen den Mund zu schliessen vergisst.

Könnt Ihr mir bitte erklären wovon ihr da debattiert, denn ich wollte doch nur unterwegs beim Kollegen, der den PC gewechselt hat, eine Datei von meiner Syno holen. Es ist mir ein Mysterium, warum ich mit dem einen Win 8.1 PC und IE 11 meinen DSM öffnen kann und mit dem andern nicht.

Itaka

 

[Frogman]

Wie oben schon angedeutet - es kommt schlichtweg darauf an, wie der zugreifende Client eingestellt ist, wenn er per verschlüsseltem Zugriff auf einer Seite landet und dann ein SSL-Zertifikat serviert bekommt, dessen signierte Server-Domain nicht mit dem Domain-Namen übereinstimmt, über den der Client zugreift. Da hier ein typischer Angriffpunkt liegt, sollte man in einem solchen Fall mindestens hellhörig werden, zumal dann diese Warnung der mangelnden Vertrauenswürdigkeit erfolgt. Mehr kann man an dieser Stelle nicht sagen, weil Du bisher nichts weiter zu der genauen Fehlermeldung und den Konfigurationen der Browser beigesteuert hast.

 

[Itaka]

Ich war gestern da zu besuch und bin jetzt wieder 100 km von diesem Rechner entfernt. Ich kann die Fehlermeldung nicht mehr sichtbar machen. Der Browser läuft mit den Einstellungen wie der PC ausgepackt und angesteckt wurde, es wurde daran nichts konfiguriert. Keine Ahnung was ich dazu beibringen könnte.

Itaka

 

[g202e]

Hallo g202e
Auf Schlechtmacherei und Hasstiraden gegen Marken in der IT Technik möchte ich lieber verzichten.

Was du als Schlechtmacherei bezeichnest ist NUR meine Meinung. Hass sieht ganz anders aus und ist in Bezug auf Software sinnfrei. Ich habe dir eine einfache Lösung genannt; wenn du diese nicht akzeptierst, ist das deine Entscheidung. Jedenfalls bringt diese ganze Diskussion um Zertifikate solange NICHTS, solange du es mit einer Softwarekombination versuchst, welche nicht vernünftig zu konfigurieren ist. Das ist das einzige Problem, welches du hast.