Mobile DS Photo Zertifikatswarnung bei Lets Encrypt? DSPhoto, DSAudio, etc.

Status
Für weitere Antworten geschlossen.

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Guten Morgen,

Lets Encrypt Zertifikate sind immer nur 3 Monate gültig und werden automatisiert aktualisiert.
Nun habe ich festgestellt, dass EINIGE (nicht alle) Apps nur den Fingerprint des Zertifikates speichern!

DS Photo, DS Audio, Drive konnte ich verifizieren. Diese meckern, wenn ein neues (gültiges) Lets Encrypt Zertifikat vorliegt.
Das ist mehr als irritierend! Der Benutzer glaubt, dass er einem Hackerangriff zum Opfer fiel?!

Dabei stellte ich fest, dass DS File, Chat keine solche Warnung ausgaben. Ich hoffe inständig, dass diese das Zertifikat selbst prüfen (und nicht der Supergau, denen einfach die gültigkeit egal ist).

Ich bin von dieser Vorgehensweise ehrlich gesagt etwas irritiert und hoffe, dass es in Zukunft eine möglichkeit gibt, diese Prüfung entsprechend anzupassen.
Wenn ein für diese Domain gültiges Zertifikat vorliegt, erübrigt sich eine Prüfung auf den Fingerprint...

Greets

Flanders
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Guten Morgen,

ja das ist im Moment genau so, wie du schreibst. DS Photo, Audio, File oder Video meckern bei mir ebenfalls nach jeder Verlängerung.

@Benutzer: vom welchen Benutzerkreis reden wir hier? Bei mir beschränkt sich das auf 2, da lässt sich das kommunizieren, dass es kein Hackerangriff ist.
Wenn du das ganze etwas größer aufziehen willst, und wirklich viele Benutzer hast und diese auch teilweise keine Ahnung von SSL, Zertifikaten etc. haben - bleibt dir aus meiner Sicht im Moment nichts anderes über, als dir ein normales SSL Zertifikat zuzulegen (natürlich kostet das dann idR aber).
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
796
Punkte für Reaktionen
15
Punkte
44

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo,

Danke für die Antwort. Ich habe es noch nicht getestet, hoffe aber, das DS File und Chat eine richtige Überprüfung des Zertifikates machen und nicht blind alle Zertifikate akzeptieren (werde es mal testen).

Der Nutzerkreis ist nicht so groß, aber halt unbedarft (Familie, Bekannte).
Ich halte es für ein größeres Sicherheitsrisiko, wenn man das neue Zertifikat bestätigen muss, da man ja in dem Moment eigentlich nicht sicher sein kann, dass es tatsächlich das Richtige ist...

In meinen Augen sind by Synology viele Dinge professionell angedacht und gelöst, aber da passt dieses Handling nicht rein!


Greets

Byte
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das Speichern eines Fingerprints an sich ist ja kein Problem. An anderer Stelle hatte ich bereits mal angedeutet, dass ich mit Entwicklern bei Synology im Gespräch war, um eine Lösung, wie ich sie mir unter DSM 5.2 eingerichtet habe, als offizielle Version anzubieten. Das Public Key Pinning, welches auf Client-Seite einfach einzusetzen ist, kann man nämlich hier elegant nutzen, um - startend mit einem ersten TOFU-Zugriff - alle folgenden Zertifikatswechsel über Let's Encrypt automatisiert abzuwickeln und über die entsprechenden Services relevante Pins des aktuellen und des folgenden Zertifikats auszuliefern (denn man kann Pins auf CSR berechnen, über die das nächste LE-Zertifikat geholt wird). Auf diese Weise könnten auch alle mobilen Apps automatisiert jeden Zertifikatswechsel überstehen, ohne lästige Meldungen oder gar Gefährdungen, wenn man neue Zertifikate händisch bestätigen soll. Leider hat sich Synology entgegen der Entwickler wenig... naja, sagen wir mal interessiert gezeigt - vielleicht ändert sich das, wenn die Zahl der Beschwerden groß genug wird (auch wenn ich inzwischen klar den Eindruck gewonnen habe, der weitere Fokus von Synology ist nicht der gewöhnliche Privatanwender).
 

bastians

Benutzer
Mitglied seit
29. Jun 2011
Beiträge
65
Punkte für Reaktionen
0
Punkte
6
Ich wette eine Kiste Bier, dass das Verhalten der Synology Apps der Ursprünglichen Verwendung von Selbstsignierten-Zertifikaten geschuldet ist. In dem Falle macht es ja auch Sinn...
Bei den aktuellen LetsEncrypt-Zertifikaten absolut nicht :(

Bastian
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Sinn macht es schon. Die Prüfung ist halt penibler als jeder Browser aktuell.
Beim Zertifikatswechel ist schließlich der Fingerprint das entscheidende Merkmal das es abzugeleichen gilt. Ein "gefälschtes" Zertifikat könnte auch auf den richtigen Namen verweisen, wobei der Aufwand dazu sicher nicht unerheblich ist bzw. man zu diesem Zeitpunkt eventuell schon größere Probleme hat weil der Einbrecher leichter auf anderen Wegen an die Daten kommt.
Ich weiß jetzt nicht wie viele Leute dazu Tickets geschrieben haben. Ich persönlich habe jedenfalls ebenfalls eines im Tenor von @frogman an den Support geschrieben kurz nachdem LE-Zertifikate draußen waren weil das von Anfang an ein Problem war.
Und technisch lösbar wäre diese gehärtete Variante auch einzig der Wille scheint zu fehlen.
Inzwischen wäre ich aber auch zufrieden, wenn sie einfach die Prüfung soweit reduzieren würden wie in gängigen Browsern auf Inkonsistenzen und zertifizierte CA-Unterschrift.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Noch eine wichtige Frage,

kann es sein, dass DS File KEINERLEI Zertifikatsprüfung hat?
Habe nun aus Testzwecken die Zertifikate von Lets Encrypt auf das Synology Zertifikat umgestellt und NIX ist passiert.
DS File öffnete sich weiterhin klaglos?! Alle anderen Apps haben zumindest bemerkt, dass der Fingerprint nicht mehr stimmt?!

Sollte sich das bestätigen, schalte ich auf WebDAV um und nutze eine andere App....

Greets

Flanders
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Zumindest hat DS File in den Optionen ein "Zertifikat überprüfen" was man auswählen kann.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
kann es sein, dass DS File KEINERLEI Zertifikatsprüfung hat?

Wenn du die Zertifkatsprüfung eingeschaltet hast in deiner APP DS File dann prüft sie auch:

ds_file_zertifikatspruefung.jpg

Dazu musst du in den Einstellungen der APP DS File den Haken setzen vor "Zertifikat überprüfen", zu finden VOR DER Anmeldung in der APP, ganz LINKS UNTEN auf das graue Zahnrad tippen.
Anmerkung: Die Fehlermeldung für das Bild oben, habe ich bewusst herbeigeführt indem ich einfach den Link für die Anmeldung in der APP leicht geändert habe, das Zertifikat wird daher bei der Überprüfung bemängelt. Es ist kein selbsterstelltes Zertifikat.
ABER das Zertifikat ist ja für eine ganz bestimmte URL, lautet das Zertifikat auf "fantasiename.net" so klappt die Verbindung auf die DS einwandfrei. Benützt man hingegen "www.fantasiename.net" so erscheint sofort die im Bild dargestellte Fehlermeldung da das Zertifikat ohne www. erstellt wurde! Daher genau darauf Achten auf welche URL das Zertifkat genau ausgestellt wurde!
 
Zuletzt bearbeitet:

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Guten Morgen,

wo schaltet man in Android diese Zertifikatsüberprüfung denn ein/aus?
Mein Menü gibt das nicht her...
(Version 4.10.5-287)

Screenshot_20180324-070147.jpg
Screenshot_20180324-070213.jpg
Screenshot_20180324-070242.jpg

Greets

Byte
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
du tippst auf "Abmelden" > VOR DEM NEUEN ANMELDEN DANN: Links unten auf das Zahnrad tippen :)

Vorbereitung: Du musst dich zwingend Abmelden, dann vor der neuerlichen Anmeldung links Unten auf das Zahnrad tippen:

ds_file_zahnrad_liunten.jpg

du bist noch immer abgemeldet und kommst in das Menü für die späteren Anmeldeoptionen:

ds_file_zertifikatspruefung2.jpg

Nach dem Setzen vom Haken dann > Links oben auf den gelben Pfeil tippen um wieder auf die Anmeldeseite zurück zu gelangen.
JETZT Eingaben vornehmen und auf "Anmelden" tippen.
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
und bitte nicht wundern warum das alles abschaltbar ist. Das ist nicht alleine wegen den selbstsignierten, sondern etwas ältere Androids haben zum Bsp keine aktuellen Root Cert in dem eigenen Cert Store und würden vieles gar nicht akzeptieren. Mein Android 5.1 kann auch mit LE nichts anfangen, der 6.0 jeodch schon.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Danke, muss man auch wissen.
Aber toll, dass es Standard aus ist!

Greets
Flanders
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo,

ich muss das Thema nochmal hochholen!
Ich habe soeben bei meinem Bekannten festgestellt, dass sich die iphone-Apps anders verhalten.
Schaltet man dort die Zertifikatsüberprüfung ein, wird das Let´s Encrypt Zertifikat als "nicht vertrauenswürdig" erkannt?!
Mit meiner Android-App geht es ohne Probleme!

Ist jemandem diese Problematik bekannt??

Greets

Flanders
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
ev kommt es noch darauf an wie alt das Betriebssystem ist, oder wann es die letzten Updates bekommen hat.
Mein Android 5.1 kann es auch nicht, ein Android 6 jedoch schon.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Android und iOS aktuell.
Zumal es im Browser geht! Bug?

Greets
Flanders
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
nicht gesagt dass es bug ist, kann aber sein.
Bei iOS weiss ich nicht wie und wo die Zertifikate gehandhabt werden.
Bei Android sind die Root im Betriebssystem gelagert und wenn man einen dazu addieren will, muss man zuerst alles auf hochsicher konfigurieren.
Tut man es nicht, hat man unter Umständen nicht die aktuellen Root dabei und dann meckert dies und das auch mal.
Ob der Browser bei iO selber ein CertStore hat weiss ich nicht.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
OK,
iPhone 6 Versoin 11.3.
Wo kann ich bei Synology diesen möglichen BUG melden?
Ich finde das Verhalten höchst sonderbar...

Greets

Byte
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat