Zertifikat

[srdm77]

Hallo,

ich habe nach dieser Anleitung: https://www.youtube.com/watch?v=s6u8xEDaHHM


DDNS aktiviert und ein Zertifikat von Synology als Standard eingerichtet. Mein Browser zeigt aber immer noch eine unsichere Verbindung an. Was muss ich ändern?

 

[plang.pl]

Greifst du mit der IP-Adresse zu? Wenn ja, dann ist das Zertifikat ungültig.

 

[srdm77]

Keine Ahnung. Ich habe zwei LAN-Verbindungen und zwei IP-Adressen. Unter beiden kommt die Sicherheitswarnung.

 

[patrickn]

Wenn du per IP zugreifst, wird es immer eine Sicherheitswarnung geben, da es für IP Adressen kein Zertifikat gibt.

Wenn dann musst du die Seite schon mit der Synology DynDNS Adresse aufrufen.

 

[plang.pl]

Genau. Das Zertifikat ist nur gültig beim Aufruf über den im Zertifikat angegebenen Namen. Das ist in dem Fall die DDNS-Adresse.
Für die IP-Adresse ist das Zertifikat nicht gültig.

 

[srdm77]

Ah,okay... wenn ich ausschließlich lokal über meine Direktverbindung auf das NAS zugreifen möchte, benötige ich das gar nicht?

 

[plang.pl]

Da kannst du die Warnung überspringen oder halt http (Port 5000) nehmen.
Oder halt auch intern mit dem DDNS-Namen zugreifen. Was hast du für einen Router?
Hast du Portweiterleitungen geschalten? Wenn du das nur intern nutzt, mach das bitte nicht.

Du kannst auch einfach den DDNS-Namen auf die interne IP zeigen lassen. Dann ist das von extern nicht erreichbar und intern ist es quasi das gleiche wie die IP: https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/

 

[srdm77]

Ich verbinde über die IP, welche unter LAN1 angegeben ist. Der Browser zeigt dann Port 5000 an und weist auf eine unsichere Verbindung hin. Alles funktioniert soweit auf diesem Weg. Ich dachte nur, aufgrund des Sicherheitshinweises gäbe es etwas zu tun und habe das Zertifikat eingerichtet. Da ich nur intern nutzen möchte, habe die die Ports an der Fitzbox wieder geschlossen.

 

[plang.pl]

Du nutzt ja dennoch eine verschlüsselte Verbindung, nur halt ohne gültiges Zertifikat. Wenn es ein "böser Bube" nun schafft, in deinem LAN einen Server aufzustellen mit der gleichen IP wie die DS, könntest du das halt nicht voneinander unterscheiden, weil das Cert in beiden Fällen ungültig ist. Das ist auch schon alles. Wenn du im LAN mit http statt https zugreifst, ist das auch nicht weiter schlimm, wenn du niemanden im Netzwerk erwartest, der deine Verbindung abfängt.

 

[srdm77]

Und das von Synology selbst ausgestellte Zertifikat ist ungültig? Wie kann ich das ändern?

 

[plang.pl]

Das kannst du nicht ändern.
Und für eine IP-Adresse kommst du kein Zertifikat. Nur für einen gültigen FQDN (Domain-Namen).

 

[srdm77]

Na dann ... Danke

 

[patrickn]

Port 5000 ist doch aber der unverschlüsselte Port, also http:// statt https://

 

[srdm77]

Ja, stimmt, wenn ich https:// davor stelle, geht er auf den 5001