Selbstsigniertes Zertifikat mit Synology Drive Client und Synology Photos Mobil

[DanielB]

Liebe Forengemeinde
- Ich habe eine eigene Root CA erstellt
- Ich habe damit ein selbst signiertes Zertifikat erstellt.
- Das Zertifikat auf dem Synology-NAS importiert und als Standard-Zertifikat spezifiziert.
- Die eigene Root CA habe ich auf den entsprechenden Clients verteilt, damit ich u.a. via Browser mit https auf das NAS zugreifen kann.
--> Dies funktioniert auch einwandfrei.

Mit Synology Drive Client (Linux Mint) und Synology Photos Mobil (iPhone) wird das selbst signierte Zertifikat jedoch nicht akzeptiert.

Auf den Supportseiten von Synology wird für diese Situation immer darauf hingewiesen, man soll ein Zertifikat von Let's Encript verwenden.

Warum funktioniert das Zertifikat von Let's Encript aber ein selbstsigniertes Zertifikat nicht?
Gibt es trotzdem eine Möglichkeit ein selbst signiertes Zertifikat zu verwenden und was müsste wo angepasst werden?

Gruss Daniel

 

[hblein]

Hallo @DanielB, wenn du deine Frage: "Warum funktioniert das Zertifikat von Let's Encript aber ein selbstsigniertes Zertifikat nicht?" z.B. bei einer großen Suchmaschine eingibst, kommt folgendes dabei rum:

Let's Encrypt
-Zertifikate funktionieren, weil sie von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt und in Browsern vorinstalliert sind. Selbstsignierte Zertifikate hingegen werden nicht von einer vertrauten dritten Partei validiert. Das führt zu Sicherheitswarnungen, da der Browser die Identität des Ausstellers nicht bestätigen kann und keine Vertrauenskette (Chain of Trust) existiert.
Hauptunterschiede:

• Vertrauenskette (Chain of Trust): Let's Encrypt wird von Stammzertifikaten (Root-CAs) signiert, die Browser und Betriebssysteme als sicher einstufen. Ein selbstsigniertes Zertifikat ist sein eigener Aussteller, was Browsern kein Vertrauen entgegenbringen.
• Validierung: Let's Encrypt prüft automatisiert, ob Ihnen die Domain gehört. Selbstsignierte Zertifikate umgehen diesen Prozess, was sie anfällig für Angriffe macht.
• Warnmeldungen: Da selbstsignierte Zertifikate nicht verifiziert sind, zeigen Webbrowser wie Chrome oder Firefox eine "Verbindung ist nicht sicher"-Meldung an, während Let's Encrypt als vertrauenswürdig (grünes Schloss) gilt.

Wann man was verwendet:

• Let's Encrypt: Ideal für öffentliche Webseiten, da kostenlos, automatisiert und browserkompatibel.
• Selbstsignierte Zertifikate: Nur für interne Testumgebungen, Entwicklung oder geschlossene Netzwerke geeignet, in denen das Zertifikat manuell auf allen Geräten als vertrauenswürdig installiert werden kann.

Selbstsignierte Zertifikate sind nicht "defekt", sie bieten nur keine Vertrauensbasis für öffentliche Anwendungen, weshalb Browser die Verbindung als unsicher einstufen.

Das sollte dann auch deine zweite Frage beantworten.

Gruß Lars

 

[synfor]

Er verwendet aber doch gar kein selbstsigniertes Zertifikat. Das wurde von seiner eigenen CA signiert und das funktioniert beim Zugriff aufs DSM ja problemlos.

- Das Zertifikat auf dem Synology-NAS importiert und als Standard-Zertifikat spezifiziert.

Welches Zertifikat ist Drive zugeordnet?

 

[hblein]

Vielleicht ist da die Verbindung eine Andere?

 

[synfor]

Also ich vermute, dass Drive gar nicht sein Zertifikat verwendet. Aber bisher kam da nur Drive akzeptiert das Zertifikat nicht. Die Meldungen dazu wären interessant.