Webinterface wird im Browser als unsicher markiert

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
Ich bin von einer DS220+ auf eine DS920+ umgestiegen. Seit dem Umstieg sehe ich nun im Chrome Browser folgende Markierung:

nichtsicher.png

Das hatte ich bei meiner DS220+ definitv nicht. Kann mir jemand sagen, woran das liegen kann und was ich dagegen machen kann?
 

EDvonSchleck

Benutzer
Sehr erfahren
Mitglied seit
06. Mrz 2018
Beiträge
2.231
Punkte für Reaktionen
500
Punkte
129
Selbst signiertes Zertifikat oder Zertifikat abgelaufen?
 

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
Ich habe nie (bewusst) irgendein Zertifikat erstellt. So sieht die Übersicht meiner Zertifikate aus. Ich weiß aber auch nicht, warum ich zwei habe (evtl durch den Umstieg von ds220 auf ds920?):

zertifikate.png
 

EDvonSchleck

Benutzer
Sehr erfahren
Mitglied seit
06. Mrz 2018
Beiträge
2.231
Punkte für Reaktionen
500
Punkte
129
ein Standardzertifikat ist immer dabei das 2. kommt halt von deinen Quickconnectzugang - steht doch alles da
 

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
Die Zertifikate scheinen ja nicht abgelaufen zu sein, wenn ich das richtig sehe.
Welche Ursache kann diese Warn-Meldung noch haben? Was kann ich dagegen machen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
13.856
Punkte für Reaktionen
790
Punkte
404
DIe Zertifikate sind ok, und die Verbindung ist auch gesichert / ssl verschlüsselt.

Einzig passt eben "nashome" nicht zu einem Namen der in den Zertifikaten verwendet wird.
Die Warnung hattest du ja sicher einmalig akzeptiert, seither ist nur noch die Markierung in der Adresszeile zu sehen, DSM kann uneingeschränkt benutzt werden.

WIllst du die Meldung nicht sehen, also grünes bzw. gar kein Schloss und keine Markierung musst du
- die NAS mit der Quickconnect Adresse aufrufen (auch im LAN)
- lokal mit nashome:5000 unverschlüsselt aufrufen (https Umleitung muss deaktiviert sein)
- (jedes Jahr (weiß gerade nicht, ob Synology die default Zertifikate noch regelmäßig aktualisiert, oder die einfach nach 12 Monaten ablaufen. Neue selbst-signierte kann man sich ja in der GUI unter DSM 7 nicht mehr ausstellen)) das Synology Zertifikat exportieren und im Client als Vertrauenswürdig importieren (abhängig vom Betriebssystem)
 
  • Like
Reaktionen: Puddies

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
- lokal mit nashome:5000 unverschlüsselt aufrufen (https Umleitung muss deaktiviert sein)
- (jedes Jahr (weiß gerade nicht, ob Synology die default Zertifikate noch regelmäßig aktualisiert, oder die einfach nach 12 Monaten ablaufen. Neue selbst-signierte kann man sich ja in der GUI unter DSM 7 nicht mehr ausstellen)) das Synology Zertifikat exportieren und im Client als Vertrauenswürdig importieren (abhängig vom Betriebssystem)
Ich konnte mit meiner DS220+ immer auf nashome:5000 zugreifen. Jetzt bei der DS920+ werde ich tatsächlich immer automatisch auf :5001 umgeleitet. Vermutlich ist das der Grund, warum ich vorher die Meldung nie erhalten habe.

Wie kann ich diese Umleitung deaktivieren?

Und wie kann ich das Zertifikat importieren unter Arch Linux / Chrome?
 

mayo007

Benutzer
Sehr erfahren
Mitglied seit
26. Okt 2016
Beiträge
1.816
Punkte für Reaktionen
301
Punkte
103
Einfach Lets Encrypt Zertifikat für deine DDNS Adresse erstellen und fertig
 

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
Ich habe doch schon ein gültiges Zertifikat von meiner Synology. Ich verstehe gerade nicht, was genau ich nun machen soll und wie das meine beiden Fragen beantwortet.
 

alexhell

Benutzer
Mitglied seit
13. Mai 2021
Beiträge
102
Punkte für Reaktionen
17
Punkte
18
Einfach Lets Encrypt Zertifikat für deine DDNS Adresse erstellen und fertig
Dann müsste er die NAS auch von außen erreichbar machen.

Die Umleitung von HTTP zu HTTPS kannst du unter Einstellungen -> Anmeldeportal deaktivieren. Da ist der Punkt "HTTP Verbindungen für DSM Desktop automatisch zu HTTPS umleiten."
 
  • Like
Reaktionen: Puddies

EDvonSchleck

Benutzer
Sehr erfahren
Mitglied seit
06. Mrz 2018
Beiträge
2.231
Punkte für Reaktionen
500
Punkte
129
Dann müsste er die NAS auch von außen erreichbar machen.
nicht direkt, es muss lediglich die Ports bei d er Zertifikatserstellung und Erneuerung geöffnet werden. Das geht auch ganz ohne und automatisch mit acme.sh. Das gültige Zertifikat wird danach den Dienst zugeteilt was er eben nutzen will.

Ich habe doch schon ein gültiges Zertifikat von meiner Synology. Ich verstehe gerade nicht, was genau ich nun machen soll und wie das meine beiden Fragen beantwortet.
Ganz einfach du hast ein gültiges Zertifikat ABER kein vertrauenswürdige! Nur Zertifizierte Stellen können ein vertrauenswürdiges Zertifikat ausstellen. Zertifikate welche mit OpenSSL erstellt sind gelten einfach nicht als vertrauenswürdig. Sofern du sicher bist das es dein Zertifikat ist was du manuell angenommen hast ist doch alles ok und genau so sicher wie alle anderen Zertifikate. Die Fehlermeldung soll dich nur sensibilisieren das es ein selbst ausgestelltes Zertifikat ist und das kann eben jeder. Ist aber nicht unbedingt schlechter nach Kontrolle!

Wenn dich das so sehr stört musst du eben ein Lets Encrypt Zertifikat oder ein anderes bestätigtes erworbenen Zertifikat in der DS importieren-
Alternativ unverschlüsselt über VPN auf die DS zugreifen. VPN wäre immer die erste Wahl für mich beim Fernzugriff. Von Quickconnect halte ich wie andere User auch nicht besonders viel, das mir der Service zu intransparent ist.

Ich hoffe das hilft dir weiter...
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
8.391
Punkte für Reaktionen
1.156
Punkte
288
@Puddies
Was führt denn der Browser als Grund dafür auf? Bei deinem Aufruf aus #1 müsste doch auch Grund (z.B. NET::ERR_CERT_COMMON_NAME_INVALID) auftauchen.
 

Puddies

Benutzer
Mitglied seit
11. Sep 2020
Beiträge
66
Punkte für Reaktionen
3
Punkte
8
@Benares NET::ERR_CERT_AUTHORITY_INVALID
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
8.391
Punkte für Reaktionen
1.156
Punkte
288
Ok, also was selbstsigniertes. Dann schau dir mal die Eigenschaften des Zertifikats an (Rechts-Klick auf "Nicht sicher" oben, dann auf "Zertifikat ist ungültig" klicken). Dort kannst du das Zertifikat auch speichern (Reiter Details, "In Datei kopieren"). Dann legst du die irgendwo ab (-> irgendwas.cer).

Mit einem Rechts-Klick auf die Datei wird "Zertifikat installieren" angeboten. Da wählst du als Ort "Lokaler Computer", dann später "Vertrauenswürdige Stammzertifizierungsstellen" als Speicherort aus. Damit vertraut dein Chrome dann künftig diesem Zertifikat. Anschauen kannst du dir die aktuellen Settings übrigens über "certmgr.msc".

Edit: Aber selbst, wenn dein Browser nun der Zertifizierungsstelle vertraut, kann es immer noch zu weiteren Fehler kommen. Beispielsweise muss der in der URL verwendete Name auch in Liste der "Alternativen Antragstellernamen" (s. Zertifikat-Details) enthalten sein. Passt das nicht, kannst du dir ein neues, selbstsigniertes Zertifikat erstellen. Eine Anleitung dazu findest du im Wiki.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Puddies

alexhell

Benutzer
Mitglied seit
13. Mai 2021
Beiträge
102
Punkte für Reaktionen
17
Punkte
18
nicht direkt, es muss lediglich die Ports bei d er Zertifikatserstellung und Erneuerung geöffnet werden. Das geht auch ganz ohne und automatisch mit acme.sh. Das gültige Zertifikat wird danach den Dienst zugeteilt was er eben nutzen will.
Ok das stimmt... Ich ging nur von der DSM Weboberfläche aus.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.052
Punkte für Reaktionen
515
Punkte
154
Moinsen @Puddies,
erst mal kurz gefragt:
greifst du auf dein NAS unter deiner nashome-Adresse nur und ausschließlich aus deinem eigenen LAN zu oder von extern / über "Internet"?

Wenn nur zu Hause, dann kannst du ggf. https (wie oben schon vorgeschlagen) deaktivieren (aber maximal nur dann!!)
Das geht unter Anmeldeportal > DSM , hier dann den Haken bei HTTP Verbindung...umleiten raus nehmen, dann geht auch wieder alles via Port 5000 (also, alles natürlich nicht, ihr wisst schon).
Wenn du aber eben ein HTTPS Zertifikat benötigst, dann
...eines besorgen bei den bekannten Anbietern solcher Dienste
...ein eigenes erstellen (wenn du es nur intern brauchst)
...im Browser eine Ausnahme anlegen, dann wird das Schloss zwar nicht grün, aber immerhin auch nicht rot ;)

Dass diese besondere Fehlerbeschreibung auftaucht, bedeutet eben, dass dem Zertifikatsaussteller NICHT vertraut wird von deinem Browser. Wer oder was dein Original Synology Zertifikat ausgestellt hat taucht also ncht in der Browserinternen Whitelist auf bzgl CAs.

Daher: wenn du nie nie nie von extern ohne VPN auf dein NAS zugreifen willst, dann nutzen viele Menschen eh kein https intern ihrers Heimnetzes.
Wenn du das willst, steht eben etwas Arbeit an...
Ist aber von den anderen usern oben eigentlich alles zu gesagt worden :)
jm2c
 
  • Like
Reaktionen: Puddies
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup