DSM 6.x und darunter Webinterface wird im Browser als unsicher markiert

[Puddies]

Ich bin von einer DS220+ auf eine DS920+ umgestiegen. Seit dem Umstieg sehe ich nun im Chrome Browser folgende Markierung:



Das hatte ich bei meiner DS220+ definitv nicht. Kann mir jemand sagen, woran das liegen kann und was ich dagegen machen kann?

 

[EDvonSchleck]

Selbst signiertes Zertifikat oder Zertifikat abgelaufen?

 

[Puddies]

Ich habe nie (bewusst) irgendein Zertifikat erstellt. So sieht die Übersicht meiner Zertifikate aus. Ich weiß aber auch nicht, warum ich zwei habe (evtl durch den Umstieg von ds220 auf ds920?):

 

[EDvonSchleck]

ein Standardzertifikat ist immer dabei das 2. kommt halt von deinen Quickconnectzugang - steht doch alles da

 

[Puddies]

Die Zertifikate scheinen ja nicht abgelaufen zu sein, wenn ich das richtig sehe.
Welche Ursache kann diese Warn-Meldung noch haben? Was kann ich dagegen machen?

 

[Fusion]

DIe Zertifikate sind ok, und die Verbindung ist auch gesichert / ssl verschlüsselt.

Einzig passt eben "nashome" nicht zu einem Namen der in den Zertifikaten verwendet wird.
Die Warnung hattest du ja sicher einmalig akzeptiert, seither ist nur noch die Markierung in der Adresszeile zu sehen, DSM kann uneingeschränkt benutzt werden.

WIllst du die Meldung nicht sehen, also grünes bzw. gar kein Schloss und keine Markierung musst du
- die NAS mit der Quickconnect Adresse aufrufen (auch im LAN)
- lokal mit nashome:5000 unverschlüsselt aufrufen (https Umleitung muss deaktiviert sein)
- (jedes Jahr (weiß gerade nicht, ob Synology die default Zertifikate noch regelmäßig aktualisiert, oder die einfach nach 12 Monaten ablaufen. Neue selbst-signierte kann man sich ja in der GUI unter DSM 7 nicht mehr ausstellen)) das Synology Zertifikat exportieren und im Client als Vertrauenswürdig importieren (abhängig vom Betriebssystem)

 

[Puddies]

- lokal mit nashome:5000 unverschlüsselt aufrufen (https Umleitung muss deaktiviert sein)
- (jedes Jahr (weiß gerade nicht, ob Synology die default Zertifikate noch regelmäßig aktualisiert, oder die einfach nach 12 Monaten ablaufen. Neue selbst-signierte kann man sich ja in der GUI unter DSM 7 nicht mehr ausstellen)) das Synology Zertifikat exportieren und im Client als Vertrauenswürdig importieren (abhängig vom Betriebssystem)

Ich konnte mit meiner DS220+ immer auf nashome:5000 zugreifen. Jetzt bei der DS920+ werde ich tatsächlich immer automatisch auf :5001 umgeleitet. Vermutlich ist das der Grund, warum ich vorher die Meldung nie erhalten habe.

Wie kann ich diese Umleitung deaktivieren?

Und wie kann ich das Zertifikat importieren unter Arch Linux / Chrome?

 

[mayo007]

Einfach Lets Encrypt Zertifikat für deine DDNS Adresse erstellen und fertig

 

[Puddies]

Ich habe doch schon ein gültiges Zertifikat von meiner Synology. Ich verstehe gerade nicht, was genau ich nun machen soll und wie das meine beiden Fragen beantwortet.

 

[mayo007]

Was kann ich dagegen machen?

Ausnahmeregel im Browser hinzufügen oder einfach ignorieren sollte es eine Interne Verbindung sein

 

[alexhell]

Einfach Lets Encrypt Zertifikat für deine DDNS Adresse erstellen und fertig

Dann müsste er die NAS auch von außen erreichbar machen.

Die Umleitung von HTTP zu HTTPS kannst du unter Einstellungen -> Anmeldeportal deaktivieren. Da ist der Punkt "HTTP Verbindungen für DSM Desktop automatisch zu HTTPS umleiten."

 

[EDvonSchleck]

Dann müsste er die NAS auch von außen erreichbar machen.

nicht direkt, es muss lediglich die Ports bei d er Zertifikatserstellung und Erneuerung geöffnet werden. Das geht auch ganz ohne und automatisch mit acme.sh. Das gültige Zertifikat wird danach den Dienst zugeteilt was er eben nutzen will.

Ich habe doch schon ein gültiges Zertifikat von meiner Synology. Ich verstehe gerade nicht, was genau ich nun machen soll und wie das meine beiden Fragen beantwortet.

Ganz einfach du hast ein gültiges Zertifikat ABER kein vertrauenswürdige! Nur Zertifizierte Stellen können ein vertrauenswürdiges Zertifikat ausstellen. Zertifikate welche mit OpenSSL erstellt sind gelten einfach nicht als vertrauenswürdig. Sofern du sicher bist das es dein Zertifikat ist was du manuell angenommen hast ist doch alles ok und genau so sicher wie alle anderen Zertifikate. Die Fehlermeldung soll dich nur sensibilisieren das es ein selbst ausgestelltes Zertifikat ist und das kann eben jeder. Ist aber nicht unbedingt schlechter nach Kontrolle!

Wenn dich das so sehr stört musst du eben ein Lets Encrypt Zertifikat oder ein anderes bestätigtes erworbenen Zertifikat in der DS importieren-
Alternativ unverschlüsselt über VPN auf die DS zugreifen. VPN wäre immer die erste Wahl für mich beim Fernzugriff. Von Quickconnect halte ich wie andere User auch nicht besonders viel, das mir der Service zu intransparent ist.

Ich hoffe das hilft dir weiter...

 

[Benares]

@Puddies
Was führt denn der Browser als Grund dafür auf? Bei deinem Aufruf aus #1 müsste doch auch Grund (z.B. NET::ERR_CERT_COMMON_NAME_INVALID) auftauchen.

 

[Puddies]

@Benares NET::ERR_CERT_AUTHORITY_INVALID

 

[Benares]

Ok, also was selbstsigniertes. Dann schau dir mal die Eigenschaften des Zertifikats an (Rechts-Klick auf "Nicht sicher" oben, dann auf "Zertifikat ist ungültig" klicken). Dort kannst du das Zertifikat auch speichern (Reiter Details, "In Datei kopieren"). Dann legst du die irgendwo ab (-> irgendwas.cer).

Mit einem Rechts-Klick auf die Datei wird "Zertifikat installieren" angeboten. Da wählst du als Ort "Lokaler Computer", dann später "Vertrauenswürdige Stammzertifizierungsstellen" als Speicherort aus. Damit vertraut dein Chrome dann künftig diesem Zertifikat. Anschauen kannst du dir die aktuellen Settings übrigens über "certmgr.msc".

Edit: Aber selbst, wenn dein Browser nun der Zertifizierungsstelle vertraut, kann es immer noch zu weiteren Fehler kommen. Beispielsweise muss der in der URL verwendete Name auch in Liste der "Alternativen Antragstellernamen" (s. Zertifikat-Details) enthalten sein. Passt das nicht, kannst du dir ein neues, selbstsigniertes Zertifikat erstellen. Eine Anleitung dazu findest du im Wiki.

 

[alexhell]

nicht direkt, es muss lediglich die Ports bei d er Zertifikatserstellung und Erneuerung geöffnet werden. Das geht auch ganz ohne und automatisch mit acme.sh. Das gültige Zertifikat wird danach den Dienst zugeteilt was er eben nutzen will.

Ok das stimmt... Ich ging nur von der DSM Weboberfläche aus.

 

[the other]

Moinsen @Puddies,
erst mal kurz gefragt:
greifst du auf dein NAS unter deiner nashome-Adresse nur und ausschließlich aus deinem eigenen LAN zu oder von extern / über "Internet"?

Wenn nur zu Hause, dann kannst du ggf. https (wie oben schon vorgeschlagen) deaktivieren (aber maximal nur dann!!)
Das geht unter Anmeldeportal > DSM , hier dann den Haken bei HTTP Verbindung...umleiten raus nehmen, dann geht auch wieder alles via Port 5000 (also, alles natürlich nicht, ihr wisst schon).
Wenn du aber eben ein HTTPS Zertifikat benötigst, dann
...eines besorgen bei den bekannten Anbietern solcher Dienste
...ein eigenes erstellen (wenn du es nur intern brauchst)
...im Browser eine Ausnahme anlegen, dann wird das Schloss zwar nicht grün, aber immerhin auch nicht rot

Dass diese besondere Fehlerbeschreibung auftaucht, bedeutet eben, dass dem Zertifikatsaussteller NICHT vertraut wird von deinem Browser. Wer oder was dein Original Synology Zertifikat ausgestellt hat taucht also ncht in der Browserinternen Whitelist auf bzgl CAs.

Daher: wenn du nie nie nie von extern ohne VPN auf dein NAS zugreifen willst, dann nutzen viele Menschen eh kein https intern ihrers Heimnetzes.
Wenn du das willst, steht eben etwas Arbeit an...
Ist aber von den anderen usern oben eigentlich alles zu gesagt worden
jm2c