DSM 6.x und darunter Zertifikatsterror, Zerti für Heimnetz

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Hi
ich bin gerade (oder auch schon etwas länger) wegen https und Zertifikat am verzweifeln. Meine Browser drehen gerne mal am Rad, weil entweder mein DSM und Photostation über http angesprochen werden oder eben das Zertifikat fehlt.
Meine NAS ist von außen nur über einen VPN-Tunnel erreichbar und wird zu >99% nur im Hausnetzwerk betrieben. Ich brauche kein Zertifikat. Um des lieben Friedens willen würde ich ja eines (kostenlos mit möglichst langer Laufzeit) beschaffen.
Jetzt habe ich für Lets Encrypt recherchiert, dass die NAS über Port80 zur Verifizierung erreichbar sein muss, was bei mir ja nicht gegeben ist.

Gibt es einen schlauen Ausweg?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Interne IP kann kein Zertifikat annehmen (Zertifikate werden ohnehin nur auf Domains / DynDNS / o.ä. ausgestellt). Füge deine "unsicheren" IPs (DSM, PhotoStation o.ä.) zur White - Liste ("vertrauenswürdige Seiten" oder wie sie alle immer heißen - hängt vom Browser und Version ab) deines Browsers zu. Dann tauchen diese Meldungen eig. nicht mehr.
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Selbst die Android apps meckern rum und die kennen keine Whitelist.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Dort lässt sich aber die Zertifikatsprüfung ausschalten, oder man fügt das Zertifikat eben dem Systemweiten Zertifikatsspeicher hinzu.
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
oder man fügt das Zertifikat eben dem Systemweiten Zertifikatsspeicher hinzu.

Ich habe doch kein Zertifikat.

Wozu dient eigentlich das Synology-Zertifikat, wenn es nicht mal von den eigenen Apps erkannt/ akzeptiert wird?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.979
Punkte für Reaktionen
618
Punkte
484
...weil entweder mein DSM und Photostation über http angesprochen werden oder eben das Zertifikat fehlt.

Weshalb sprichst du die DS denn überhaupt per https an, wenn du nur im Heimnetz bist? Die Warnung vor dem Zertifikat von Synology kommt eben dann, weil der Browser es nicht kennt. Aber da kann man doch eine Ausnahme hinterlegen und gut ist...
So ganz verstehe ich den Aufreger jetzt nicht.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Musst dich halt entscheiden was du machen willst. Wenn die Browser bei Besuch von http Seiten 'unsicher' makeln, beschwer dich bei den Browsern oder schau ob man das Verhalten dort deaktivieren kann. Da können wir nix machen.

Für den Fall von selbst signierten Zertifikaten, wie auch das Synology eigene, gilt immer:
Die werden akzeptiert, sind gültig und bieten auch verschlüsselte Kommunikation.
Was sie nicht bieten ist die externe Überprüfung des aufgerufenen Domain Namens, und NUR das wird von Browsern/Apps bemängelt. So ist das Zertifkatssystem eben prinzipiell angelegt. Das hat nichts mit erkennen oder akzeptieren zu tun, wenn man sich eben an den Standard hält.

Wie gesagt, du musst dich erst mal entscheiden was du willst, dann kann man dir auch weiter helfen.
Eine kostenlose Lösung die ohne Aufwand und Kompromisse auskommt und 10 Jahre läuft gibt es halt nicht.
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Wie gesagt, du musst dich erst mal entscheiden was du willst, dann kann man dir auch weiter helfen.

Es würde mir reichen, wenn ich bei jeder Verbindung aus dem Hausnetzwerk ohne Warnung die jeweilige Funktion nutzen kann, mit
- Win7 und Firefox, DSM + Photo station
- Win10 und Chrome, DSM + Photo station
- Android App Finder, Photo, File und Audio

Hinzu käme noch die Verbindung über Android Open VPN und die oben genannten Apps. Ich werde jetzt noch einmal alle Verbindungen mit und ohne https, bzw. erzwungenes https testen und notieren, wo es welche Hürde gibt.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ok, bin gespannt auf die Liste.

Hier schon mal im Vorgriff.
Beim unverschlüsselten Zugriff via http im LAN/WLAN und per vorheriger VPN Verbindung sehe ich nur folgende Software die dezent meckern könnte : Firefox und Chrome
DSM, Photo Station und DS Finder, DS Photo, DS File und DS Audio lassen sich alle per http verbinden. Vorausgesetzt natürlich du erzwingst nicht irgendwo in den Einstellungen des DSM oder anderweitig eine https Umleitung etc.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wo ist denn das Problem Port 80 und 443 für die Sekunden dauernde Freischaltung des Zertifikates durch LE freizuschalten? Danach ist wieder Ruhe für 3 Monate.
Und ohne Geiz-ist-geil kann man für ca 36€ ein Zert für 2 Jahre kaufen und hat noch länger Ruhe.
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Kann man das Synology-Zertifikat in Android kaychain runterladen, bzw. wie?

Erste Erkenntnis
Wenn ich lokal im LAN bin akzeptieren die Android DS Apps das aktivierte Flag HTTPS.
Wenn ich über Open VPN mit übergangenem nicht erkanntem Zertifikat verbunden bin, ist eine Verbindung mit DS Apps und HTTPS Flag nicht möglich. Wisst ihr, warum das so ist?
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Weshalb sprichst du die DS denn überhaupt per https an, wenn du nur im Heimnetz bist?

Nicht freiwillig. Ich hatte mit einem Browser Probleme bei http. Ich weiss jetzt nicht mehr welcher, aber ich vermute es war der FF auf Win7. https mit Ausnahme war die Lösung, wenn ich mich recht erinnere.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Dann schalte es um bzw. https-Weiterleitung ab. Dann hast du deine Ruhe...
 

dey70

Benutzer
Mitglied seit
18. Feb 2018
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Wen umschalten, welche https-weiterleitung? Die vom DSM?
 
Zuletzt bearbeitet von einem Moderator:

SONY37

Benutzer
Mitglied seit
18. Feb 2015
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Ich steh exakt vor dem selben Problem. SSL-Zertifikat von Lets Encypt will einfach nicht funktionieren. Es gab eine Zeit an dem es wunderbar funktioniert hat und jetzt will der einfach nicht mehr. Merkwürdigerweise funktioniert es immer dann wieder, wenn kürzlich ein Update für die Diskstation Firmware gegeben hat. Dann nach ca. 2 Wochen geht das gesch*** von vorne los.

Ich nutze die DS zu 90% außerhalb des lokalen Netzwerks.
Hauptsächlich Plex, DS Moments, DS-Cam, DS-Finder und DS-File.

Nur Plex und DS-File App funktionieren wunderbar. Die nötigen Ports sind geöffnet. Eingestellt wurde, dass Verbindungen ausschließlich nur über HTTPS funktionieren sollen.
Außerdem erscheint jedesmal die blöde Meldung sowohl im Safari-Browser als auch in den Apps, dass das Zertifikat nicht vertrauenswürdig sei. Warum zum Teufel ist er das nicht? Wozu ist der sonst da wenn der nicht mal Vertrauenswürdig ist? Und das obwohl dieses Zertifikat in der DS direkt erstellt worden ist. Frustration ohne Ende.


Ich weiß ehrlich gesagt schon nicht mehr ob ich lachen oder weinen soll...
Ich bin für jeden Tipp dankbar, der vielleicht in eigener Erfahrung gemacht wurde.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat