DS File (Android) Zertifikat nicht vertrauenswürdig (lets encrypt)

[andrenalin]

Hallo Community,

ich besitze seit längerem die Synology und habe früher nie Probleme gehabt.
Doch seit einiger Zeit habe ich das Problem, dass ich von Unterwegs mit der App
DS File nicht mehr auf die Synology Zugreifen kann.

Der Fehler ist immer der Gleiche.
Das Zertifikat ist nicht Vertrauenswürdig.

Ich habe in der App die Zertifikatsprüfung deaktiviert, in den Sicherheitseinstellungen
der Synology die Kompatibilität auf niedrig gestellt, aber leider ohne Erfolg.

Ich habe die ds214play, ein lets encrypt Zertifikat und alle Ports in meiner Fritz Box 7490
manuell freigegeben.

Hat vielleicht jemand einen Tipp für mich was ich noch machen oder prüfen kann?

Ich bedanke mich für eure Hilfe!

Gruß
andrenalin

 

[TheGardner]

Fühlt sich für mich so an, als hättest Du bei Dir ein Zertifikat für XXX und meldest Dich per DS App immer mit (bzw. auf) YYY an! Deshalb kommt dann die Meldung, dass Dein Zertifikat für YYY nicht vertrauenswürdig ist! Klar, Du hast ja ein Zertifikat für XXX.

Du müsstest entweder mal bei Systemsteuerung - Sicherheit - Zertifikate schauen, ob Du bei Deinem Zertifikat unter Bearbeiten/Konfigurieren das Zertifikat auch richtig eingestellt hast! Also wenn die (Sub-)Domain z.B. meine-DS.de lautet, auf die das Zertifikat ausgestellt ist, dann kannst Du das Zertifikat nicht für deine-DS.de nehmen - ergo eine Anmeldung auf der Seite deine-DS.de vornehmen! Du musst DIch dann schon auf meine-DS.de anmelden!

 

[andrenalin]

Danke für deine Antwort.

Also das Zertifikat ist genau für die DynDns die ich benutze.
Muss ich beim erstellen auch https:// vorne anstellen oder reicht die meinedyndns.de? Das wäre etwas was ich noch nicht probiert habe.

Gerda mal https:// probiert, aber Sonderzeichen werden nicht zugelassen...

DS File ist auch die einzige APP die Probleme macht, ich habe auch schon den Cache der App geleert.
Ich benutze ein Samsung Galaxy S7, sollte aber keine Rolle spielen.

Ich installiert die App jetzt mal neu.

 

[Fusion]

In den DS Apps nimmst du nur den Hostnamen sub.domain.de oder domain.de, niemals eine Angabe zum Protokoll (http/https) in das Feld für Hostnamen/IP
Genau auf denselben Namen muss natürlich auch das Zertifikat lauten.
Ebenfalls muss in Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren eben dieses Zertifikat dem Dienst "Standard" zugeteilt sein, oder explizit dem "Dienst" über den die File Station aufgerufen wird.

 

[TeXniXo]

Bei Android muss man auch in Einstellungen auf Loginseite gehen und dort HTTPS im Bedarf aktivieren.
(bei iOS ist diese Einstellung direkt dort platziert)

 

[andrenalin]

Das mit dem https hatte ich mir auch immer gedacht, habs trotzdem mal ausprobiert und jetzt wissen wir es genau

Also alles ist auf die richtige Domain eingestellt, das Zertifikat hat einzelne Dienste und Standard in der Konfiguration
und in der App ist ebenfalls https aktiviert, die Überprüfung für das Zertifikat habe ich auch ausgeschaltet.

Ich habe die App jetzt auch gelöscht und neu installiert, vor der Installation das Telefon neu gestartet, der Verlauf mit den
Einstellungen war aber nicht gelöscht.

Früher hat es ja auch funktioniert, ich weiss nur nicht mehr ob ich da ein selbst signiertes Zertifikat hatte.

Weiß jemand wie man bei Android die Daten nach einer Deinstallation komplett löscht?
Eventuell ist noch ein falsches Zertifikat hinterlegt.

 

[Fusion]

Der Verlauf mit den Anmeldenamen/Hostnamen wird App übergreifend gespeichert. Wenn du also für DS Audio einen Namen eingegeben hast, taucht der auch in der Hostnamen-Verlaufsliste von DS File auf. Total bekloppt, is aber so.

Vielleicht liegt es doch noch an den Einstellungen, aber dann brauchen wir haarklein deine config
Systemsteuerung > Anwendungsportal > File Station
Systemsteuerung > Externer Zugriff > Erweitert
Systemsteuerung > Netzwerk > DSM Einstellungen

z.B. nutze ich benutzerdefinierte Domains im Anwendungsportal, also z.B. file.domain.de
In der DS File App muss ich dann file.domain.de:443 angeben und den Haken bei https setzen.
Wenn nur file.domain.de eingegeben wird fordert er zur Überprüfung von IP und Netzwerkeinstellungen auf. Grund: Er nimmt dann stillschweigend Port 5001, wo natürlich niemand antwortet.

 

[andrenalin]

Hallo Fusion,

versuchen wir es mal
Solange nur der App Verlauf übergreifend ist wäre das OK, da ich mit DS Photo nur auf die interne IP zugreife könnte hier schon ein Konflikt bestehen.

FileStation -> Keine Option aktiviert
Externer Zugriff -> keine Änderungen
DSM Eintellungen ->
Eigene Ports für http/https ***********
Autoamtisch auf HTTPS umleiten aktiv
HTTP/2 aktiv
Server header aktiv -> Wert "nginx"

Während ich jetzt hier schreibe habe ich meinen eigenen "https" port an die domain angehangen ...

Jetzt funktioniert es !!! :-D

Ich bin ein bisschen überrascht, dass die Fehlermeldung mit dem "Zertifikat" zu tun hat.
Eigentlich dürfte, durch den falschen Port, die FileStation garnicht erreichbar sein!? *jetzt bin ich verwirrt

Ich bedanke mich auf jeden Fall für die Hilfestellung, die in jedem Fall zu einem guten Ergebnis geführt hat

Gruß

 

[Fusion]

Genau das meinte ich, die Fehlermeldung in den Apps passt manchmal nur indirekt oder eben scheinbar nicht auf die eigentliche Ursache. Deshalb auch diese penetrante Nachfrage meinerseits nach exakten Angaben zu den Einstellungen und dei Eingaben in diversen Feldern/Boxen.

Dass die DS Apps still und heimlich bzw. hard-codiert ( soll halt ein Komfort-Feature sein, welches aber eben nur im Standardfall vom Standardfall (z.B. 5001, 5001 offen, keine Angabe in der App notwendig) ein Komfortgewinn ist) diverse Ports voraussetzen die für die Kommunikation offen sind ist ein konstantes Ärgernis.
Besser wäre es, wenn dies eine konfigurierbare Einstellung in den Apps wäre, die eben mit den "hard-codierten" Einstellungen vorbelegt ist, aber wo jeder gleich erkennen kann, dass man daran was "drehen" kann.

 

[andrenalin]

Echt benutzerfreundlich :-D

Aber ich bin begeistert dass wir hier einen Workaround gefunden haben der zum Erfolg geführt hat.

Trotzdem sollten die Ports offensichtlicher sein, damit man auch keine Angst hat sie zu ändern, evtl.
sogar als Empfehlung, ich glaube da gibt es bei manchen Menschen große Sicherheitslücken.

Danke nochmal und ein schönes Wochenende!

Cheers

P.S.: Kann man das Thema nicht als erledigt markieren und schließen? Oder macht das jemand hier?

 

[Fusion]

Nein, kann man nicht und nein, normal nicht. Kann einen Mod bitten den Titel zu bearbeiten, aber das ist fast schon zu viel Aufwand. Und ja, ist ein kleines Manko, weil ich auch finde, dass man dadurch schneller sinnvolle Threads finden würde bei der Suche.