Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 27
  1. #1
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Ausrufezeichen Zertifikatswarnung bei Lets Encrypt? DSPhoto, DSAudio, etc.

    Guten Morgen,

    Lets Encrypt Zertifikate sind immer nur 3 Monate gültig und werden automatisiert aktualisiert.
    Nun habe ich festgestellt, dass EINIGE (nicht alle) Apps nur den Fingerprint des Zertifikates speichern!

    DS Photo, DS Audio, Drive konnte ich verifizieren. Diese meckern, wenn ein neues (gültiges) Lets Encrypt Zertifikat vorliegt.
    Das ist mehr als irritierend! Der Benutzer glaubt, dass er einem Hackerangriff zum Opfer fiel?!

    Dabei stellte ich fest, dass DS File, Chat keine solche Warnung ausgaben. Ich hoffe inständig, dass diese das Zertifikat selbst prüfen (und nicht der Supergau, denen einfach die gültigkeit egal ist).

    Ich bin von dieser Vorgehensweise ehrlich gesagt etwas irritiert und hoffe, dass es in Zukunft eine möglichkeit gibt, diese Prüfung entsprechend anzupassen.
    Wenn ein für diese Domain gültiges Zertifikat vorliegt, erübrigt sich eine Prüfung auf den Fingerprint...

    Greets

    Flanders

  2. #2
    Anwender
    Registriert seit
    11.06.2017
    Beiträge
    853

    Standard

    Guten Morgen,

    ja das ist im Moment genau so, wie du schreibst. DS Photo, Audio, File oder Video meckern bei mir ebenfalls nach jeder Verlängerung.

    @Benutzer: vom welchen Benutzerkreis reden wir hier? Bei mir beschränkt sich das auf 2, da lässt sich das kommunizieren, dass es kein Hackerangriff ist.
    Wenn du das ganze etwas größer aufziehen willst, und wirklich viele Benutzer hast und diese auch teilweise keine Ahnung von SSL, Zertifikaten etc. haben - bleibt dir aus meiner Sicht im Moment nichts anderes über, als dir ein normales SSL Zertifikat zuzulegen (natürlich kostet das dann idR aber).

  3. #3
    Anwender Avatar von mördock
    Registriert seit
    04.01.2012
    Beiträge
    734

    Standard

    Moin,

    dazu gibt es auch hier eine nette Diskussion. http://www.synology-forum.de/showthr...nd-LetsEncrypt

    Sei froh das Dich einige Apps auf ein neues Zertifikat hinweisen, denn DS Note "sagt" nichts und stellt einfach die Synchronisation ein.

    #Mördock#
    DS 216+ aktiv genutztes NAS
    DS 118 aktiv genutztes NAS
    DS 111 Backupziel der DS 118 und DS 216+
    APC Back-UPS BX700U-GR
    Fritzbox 7490 für's Internet und
    Fritzbox 7390 als access point
    Diverse Androiden, PC, Laptops......

  4. #4
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    Hallo,

    Danke für die Antwort. Ich habe es noch nicht getestet, hoffe aber, das DS File und Chat eine richtige Überprüfung des Zertifikates machen und nicht blind alle Zertifikate akzeptieren (werde es mal testen).

    Der Nutzerkreis ist nicht so groß, aber halt unbedarft (Familie, Bekannte).
    Ich halte es für ein größeres Sicherheitsrisiko, wenn man das neue Zertifikat bestätigen muss, da man ja in dem Moment eigentlich nicht sicher sein kann, dass es tatsächlich das Richtige ist...

    In meinen Augen sind by Synology viele Dinge professionell angedacht und gelöst, aber da passt dieses Handling nicht rein!


    Greets

    Byte

  5. #5
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.483

    Standard

    Das Speichern eines Fingerprints an sich ist ja kein Problem. An anderer Stelle hatte ich bereits mal angedeutet, dass ich mit Entwicklern bei Synology im Gespräch war, um eine Lösung, wie ich sie mir unter DSM 5.2 eingerichtet habe, als offizielle Version anzubieten. Das Public Key Pinning, welches auf Client-Seite einfach einzusetzen ist, kann man nämlich hier elegant nutzen, um - startend mit einem ersten TOFU-Zugriff - alle folgenden Zertifikatswechsel über Let's Encrypt automatisiert abzuwickeln und über die entsprechenden Services relevante Pins des aktuellen und des folgenden Zertifikats auszuliefern (denn man kann Pins auf CSR berechnen, über die das nächste LE-Zertifikat geholt wird). Auf diese Weise könnten auch alle mobilen Apps automatisiert jeden Zertifikatswechsel überstehen, ohne lästige Meldungen oder gar Gefährdungen, wenn man neue Zertifikate händisch bestätigen soll. Leider hat sich Synology entgegen der Entwickler wenig... naja, sagen wir mal interessiert gezeigt - vielleicht ändert sich das, wenn die Zahl der Beschwerden groß genug wird (auch wenn ich inzwischen klar den Eindruck gewonnen habe, der weitere Fokus von Synology ist nicht der gewöhnliche Privatanwender).
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.2.3-25423
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.1 - Java 1.8.0.212 - Nextcloud 18.0.4 - Roundcube 1.4.3 - HumHub 1.5.1 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  6. #6
    Anwender
    Registriert seit
    29.06.2011
    Beiträge
    63

    Standard

    Ich wette eine Kiste Bier, dass das Verhalten der Synology Apps der Ursprünglichen Verwendung von Selbstsignierten-Zertifikaten geschuldet ist. In dem Falle macht es ja auch Sinn...
    Bei den aktuellen LetsEncrypt-Zertifikaten absolut nicht

    Bastian
    DS211+ DSM 5.2, Twonky, FireTV, Zarafa & EMail Server

  7. #7
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    10.260

    Standard

    Sinn macht es schon. Die Prüfung ist halt penibler als jeder Browser aktuell.
    Beim Zertifikatswechel ist schließlich der Fingerprint das entscheidende Merkmal das es abzugeleichen gilt. Ein "gefälschtes" Zertifikat könnte auch auf den richtigen Namen verweisen, wobei der Aufwand dazu sicher nicht unerheblich ist bzw. man zu diesem Zeitpunkt eventuell schon größere Probleme hat weil der Einbrecher leichter auf anderen Wegen an die Daten kommt.
    Ich weiß jetzt nicht wie viele Leute dazu Tickets geschrieben haben. Ich persönlich habe jedenfalls ebenfalls eines im Tenor von @frogman an den Support geschrieben kurz nachdem LE-Zertifikate draußen waren weil das von Anfang an ein Problem war.
    Und technisch lösbar wäre diese gehärtete Variante auch einzig der Wille scheint zu fehlen.
    Inzwischen wäre ich aber auch zufrieden, wenn sie einfach die Prüfung soweit reduzieren würden wie in gängigen Browsern auf Inkonsistenzen und zertifizierte CA-Unterschrift.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.3 | je 2*10TB Ironwolf/WD Red (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U4 | 2*3/4/3TB WD Red (SHR1)

  8. #8
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    Noch eine wichtige Frage,

    kann es sein, dass DS File KEINERLEI Zertifikatsprüfung hat?
    Habe nun aus Testzwecken die Zertifikate von Lets Encrypt auf das Synology Zertifikat umgestellt und NIX ist passiert.
    DS File öffnete sich weiterhin klaglos?! Alle anderen Apps haben zumindest bemerkt, dass der Fingerprint nicht mehr stimmt?!

    Sollte sich das bestätigen, schalte ich auf WebDAV um und nutze eine andere App....

    Greets

    Flanders

  9. #9
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    10.260

    Standard

    Zumindest hat DS File in den Optionen ein "Zertifikat überprüfen" was man auswählen kann.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.3 | je 2*10TB Ironwolf/WD Red (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U4 | 2*3/4/3TB WD Red (SHR1)

  10. #10

    Standard

    Zitat Zitat von Flanders Beitrag anzeigen
    kann es sein, dass DS File KEINERLEI Zertifikatsprüfung hat?
    Wenn du die Zertifkatsprüfung eingeschaltet hast in deiner APP DS File dann prüft sie auch:

    ds_file_zertifikatspruefung.jpg

    Dazu musst du in den Einstellungen der APP DS File den Haken setzen vor "Zertifikat überprüfen", zu finden VOR DER Anmeldung in der APP, ganz LINKS UNTEN auf das graue Zahnrad tippen.
    Anmerkung: Die Fehlermeldung für das Bild oben, habe ich bewusst herbeigeführt indem ich einfach den Link für die Anmeldung in der APP leicht geändert habe, das Zertifikat wird daher bei der Überprüfung bemängelt. Es ist kein selbsterstelltes Zertifikat.
    ABER das Zertifikat ist ja für eine ganz bestimmte URL, lautet das Zertifikat auf "fantasiename.net" so klappt die Verbindung auf die DS einwandfrei. Benützt man hingegen "www.fantasiename.net" so erscheint sofort die im Bild dargestellte Fehlermeldung da das Zertifikat ohne www. erstellt wurde! Daher genau darauf Achten auf welche URL das Zertifkat genau ausgestellt wurde!
    Geändert von Kurt-oe1kyw (24.03.2018 um 05:29 Uhr)
    Synology DS 916+ | 8 GB RAM | @ DSM 6.2.3 - 25426-U0
    1x Western Digital Red WD60EFRX @ SHR, ext4
    3x Western Digital Red WD100EFAX @ SHR, ext4
    Synology DS 218+ | 16 GB (8+8) RAM | @ DSM 6.2.3 - 25426-U0 (Backup DS)
    2x Western Digital Red WD100EFAX @ Basis, ext4
    Backup: 3x ext. HDDs USB 3.0 @ GPT / NTFS + ext4
    Backup: Dockingstation Inateck FD1003 USB 3.0 @ ext4
    USV: APC Back-Ups Pro 1500
    usbshare Nummern frei definieren: <Anleitung klick>

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Fehler bei verbindung mit lets encrypt server
    Von ayron im Forum Webserver
    Antworten: 0
    Letzter Beitrag: 04.03.2018, 15:55
  2. Antworten: 13
    Letzter Beitrag: 31.10.2017, 21:13
  3. Lets Encrypt ohne Port 80
    Von ITfisi im Forum Disk Station Manager
    Antworten: 10
    Letzter Beitrag: 24.06.2017, 12:37
  4. iOS-Apps DSPhoto, DSFile, DSAudio
    Von macchina im Forum Synology Apps und PlugIns für mobile Endgeräte und Browser
    Antworten: 5
    Letzter Beitrag: 19.05.2012, 12:16
  5. iOS-Apps DSPhoto, DSFile, DSAudio
    Von macchina im Forum Audio Station
    Antworten: 1
    Letzter Beitrag: 11.05.2012, 13:22

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •