keine vertrauenswürdige Verbindung

Status
Für weitere Antworten geschlossen.

rallepr

Benutzer
Mitglied seit
10. Feb 2010
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo,

von extern bekomme ich via xxx.no-ip.org:xxxx Zugriff auf meine DS.
Egal von wo oder über welchen Port ich es versuche, bekomme ich die Meldung vom Browser, dass der Verbindung nicht vertraut wird. :(

Es würde ein ungültiges Sicherheitszertifikat verwendet, heißt es.
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Es wurden keine Server-Namen gefunden, für die dieses Zertifikat gültig ist.

Woran liegt das? Ist das eine Eigenart von Verbindungen über no-ip.org?
Kann man diesen "Fehler" beheben? Wie?

Der Proxy meiner Firma lässt Verbindungen auf die von mir freigegebenen Ports erst gar nicht zu. Wie sehen denn da die Sicherheitsphilosophien aus?
Wird generell kein direkter Zugriff auf irgendwelche Ports zugelassen oder sind DDNS-Anbieter wie no-ip.org generell nicht als vertrauenswürdig eingestuft?

Ich würde gerne Freunden z.B. Fotos zeigen, ohne dass diese sich Sorgen um ihre Computersicherheit machen müssen.

Allerbeste Grüße
rallepr
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Das Default Zertifikat der DS ist leider selber signiert und damit wird es von keinem Browser der Welt als vertrauenswürdig angeschaut. Du kannst im Browser jedoch eine Ausnahme für dieses Zert festlegen. Dann sollte die Meldung verschwinden.
Du kannst aber auch manuell einen CSR (Certificate Signing Request) auf der DS erstellen und bei einer externen Stelle signieren lassen. Ich selber lasse meine Certs bei cacert.org signieren (ist gratis).
Oder du kaufst dir für einen Haufen Geld ein echtes Zertifikat. Diese kosten aber oft mehrere hundert Euro pro Jahr.

Firmenproxies erlauben oft nur genau definierte Verbindungen. Meist dürfen nur bestimmte Ports verwendet werden (z.B. 80 und 443). Es kann je nach Software auch sein, dass der Proxy Verbindungen auf dynamische Hosts verbietet. Häufiger ist es jedoch, dass nur Ports und nicht Hostnamen/IPs kontolliert werden
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Das Default Zertifikat der DS ist leider selber signiert und damit wird es von keinem Browser der Welt als vertrauenswürdig angeschaut.
Es ist nicht nur selber signiert, sondern stimmt natürlich auch nicht mit Deiner eigenen Domain überein. Die kann Synology natürlich auch nicht kennen.

Nicht bei jedem Browser kann man eine solche Ausnahme hinzufügen. Der IE wird zum Beispiel auf jeden Fall immer weiter mackern, weil eben die DNS auch nicht passt...

Die Generierung eines eigenen Zertifikats haben wir auch im Wiki beschrieben: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Aber die Beschreibung im Wiki signiert den Key auch selber. Von dem her hast du damit ned viel gewonnen, ausser vielleicht, dass der Hostname stimmt ;) Die Browser werden immer noch rumrüsseln weil das Cert selbstsigniert ist.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ja. Aber dieses Zertifikat kannst Du dann in den Browser importieren, dann hören die Warnungen auf. Bei dem vorinstallierten Zertifikat würde das nicht helfen, weil die DNS eben immer falsch ist.

Übrigens: Die Datensicherheit ist bei dem vorinstallierten Synology Zertifikat trotzdem auf jeden Fall gegeben. Die Verbindung ist dabei genauso verschlüsselt wie bei einem Zertifikat ohne Warnung.
 

rallepr

Benutzer
Mitglied seit
10. Feb 2010
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo und danke für die schnellen Infos,

...Du kannst aber auch manuell einen CSR (Certificate Signing Request) auf der DS erstellen und bei einer externen Stelle signieren lassen. Ich selber lasse meine Certs bei cacert.org signieren (ist gratis).

Das wäre im Prinzip meine bevorzugte Wahl, denn wenn ich diese "ich kann von überall auf meinen Server zugreifen"-Geschichte kostenfrei halten möchte, dann kann ich ja nicht auf einmal in Zertifikate investieren. Mal sehen, ob ich mal die Zeit investieren kann, mich darum zu kümmern.

Wie sieht es denn aus, wenn ich mir bspw. eine günstige Domain leisten und auf meinen Server weiterleiten würde? Wäre dann das "Vertrauen in die Verbindung" wieder hergestellt?

So ganz habe ich das mit der Zertifikaterteilung noch nicht verstanden. Vom Verständnis ist mir schon klar, dass ein Zertifikat, welches ich mir selbst ausstelle, anderen nicht unbedingt etwas wert ist.
Wer ist denn im Internet so vertrauenswürdig, dass er meinem Server bescheinigen darf, dass er eine vertrauenwürdige Quelle ist und dieses dann von jedem Browser akzeptiert wird?
Dazu kommt dann doch auch, dass der vertrauenswürdige Zustand permanent kontrolliert werden müsste. Liegt dann das Zertifikat auf meinem Server und wird bei Zugriff dem Browser übermittelt oder zertifiziert der Zertifizierer bei jedem externen Serverzugriff erneut?
Haben die Zertifikate ein Verfallsdatum?
Nach welchen Kriterien werden Zertifikate vergeben?
Das kommt mir gerade noch etwas willkürlich vor, ist aber interessant.

Allerbeste Grüße
rallepr
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
@jahlives
Schau dir mal http://www.startssl.com/ an. Die gratis-Zertifikate sind gültig, sofern man eine TopLevelDomain hat. Wenn du ein WildCard möchtest kostet das 49$ für 2 Jahre.


Gratis TopLevelDomain gibts bei http://www.dot.tk/

Gruss
ubuntulinux
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@jahlives
Schau dir mal http://www.startssl.com/ an. Die gratis-Zertifikate sind gültig, sofern man eine TopLevelDomain hat. Wenn du ein WildCard möchtest kostet das 49$ für 2 Jahre.
startssl kenne ich war mir aber zu fummelig das bei denen einzurichten. Ausserdem wollte ich eine Wildcard Zertifikat und das gibt es bei cacert hingegen gratis
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
startssl kenne ich war mir aber zu fummelig das bei denen einzurichten. Ausserdem wollte ich eine Wildcard Zertifikat und das gibt es bei cacert hingegen gratis

Was bringt dir ein Wildcard-Zertifikat wenn es ungültig ist und du das Zertifikat von CaCert importieren musst? Dann kannst du grad so gut ein Zertifikat für eine einzige Domain nehmen und einfach eine Ausnahme hinzufügen ;)

gruss ubuntulinux
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Was bringt dir ein Wildcard-Zertifikat wenn es ungültig ist und du das Zertifikat von CaCert importieren musst?
Ich brauche die Wildcard weil ich mehrere Hostnamen habe, die mit diesem Zertifikat abgedeckt werden sollen. Eine Zertifikatswarnung wegen nicht vertrauenswürdiger Stelle kriegst du in allen Browsern unterdrückt, einen nicht passenden Hostnamen jedoch nicht.
Und ungültig ist das Zertifikat von cacert natürlich nicht. Denn ungültige Zertifikate sollte kein Browser dieser Welt - auch über Ausnahmen nicht - aktzeptieren.
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
hallo und danke für die schnellen infos,

wie sieht es denn aus, wenn ich mir bspw. Eine günstige domain leisten und auf meinen server weiterleiten würde? Wäre dann das "vertrauen in die verbindung" wieder hergestellt?

nein, das hat mit art der domain nichts zu tun. Dein besucher verbindet sich mit www.deinedomain.com und bekommt von deinem server ein zertifikat übermittelt, dass auf synology.com ausgestellt ist. Das lässt offensichtlich an der vertrauenswürdigkeit des servers zweifeln :)

wer ist denn im internet so vertrauenswürdig, dass er meinem server bescheinigen darf, dass er eine vertrauenwürdige quelle ist und dieses dann von jedem browser akzeptiert wird?

dafür gibt es vertrauenswürdige stellen, die zertifikate ausstellen. Staatliche stellen, telekom ...

dazu kommt dann doch auch, dass der vertrauenswürdige zustand permanent kontrolliert werden müsste. Liegt dann das zertifikat auf meinem server und wird bei zugriff dem browser übermittelt oder zertifiziert der zertifizierer bei jedem externen serverzugriff erneut?

das zertifikat liegt auf deinem server und wird übermittelt. Je nachdem, wie teuer es war (aufwand beim Überprüfen), also ob nur deine gültige e-mail adresse geprüft wurde, oder ob du telefonisch kontaktiert wirst, oder ob du bei der post warst und deinen ausweis + gesicht vorgezeigt hats, oder ...
... Je nach dem richtet sich, wie vertrauenswürdig es ist.


haben die zertifikate ein verfallsdatum?

ja

nach welchen kriterien werden zertifikate vergeben?
Das kommt mir gerade noch etwas willkürlich vor, ist aber interessant.

schau doch mal in wikipedia


allerbeste grüße
rallepr

10987654321
 

rallepr

Benutzer
Mitglied seit
10. Feb 2010
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo Herbert_Testmann,

danke für die Antworten auf meine Fragen und auch danke für die Anregungen der anderen. Wieder was gelernt.

Dann mal sehen, dass ich damit auch etwas anfange.

Grüße
rallepr
 

rallepr

Benutzer
Mitglied seit
10. Feb 2010
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo nochmal,

ich habe gerade bei wikipedia gelesen, dass CAcert noch nicht in allen Webbrowsern als vertrauenswürdige Zertifizierungsstelle eingetragen sein soll.
Ist die Meldung veraltet bzw. gilt das für ältere Browserversionen?:confused:
Ich muss ja schon damit rechnen, dass ein bunter Mix Browser auf meinen Server zugreifen würde (Firefox >3.0.x, Opera >9.x). Ist CAcert in diesem Fall zu empfehlen?
Gibt es bei CAcert.org irgendwo eine Liste, von welchen Browsern (ab welcher Version) die Zertifikate akzeptiert werden?
Finde ich bei Mozilla oder Opera irgendwo eine Liste, welche Zertifizierungsstellen bei denen vertrauenswürdig sind?

Und dann noch die letzte entscheidende Frage: Wo lege ich das Zertifikat den auf den Server ab, wenn ich denn mal irgendwann eines erhalten habe?
Ich habe leider nur ein Vista auf meinem Laptop laufen und werde das nicht ändern. Kann ich ein Zertifikat über den DSM auf die DS einbringen oder muss ich dann irgendwie mit einem Knoppix oder ähnlichen Live-Linuxen rummodden? :eek:

Allerbeste Grüße
rallepr
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Wenn du ein (in allen Browsern ausser Opera) gültiges SSL-Zertifikat willst, registrier dir bei dot.tk eine TLD und bei http://www.startssl.com/ ein gratis Zertifikat.

gruss ubuntulinux
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Und dann noch die letzte entscheidende Frage: Wo lege ich das Zertifikat den auf den Server ab, wenn ich denn mal irgendwann eines erhalten habe?
Ich habe leider nur ein Vista auf meinem Laptop laufen und werde das nicht ändern. Kann ich ein Zertifikat über den DSM auf die DS einbringen oder muss ich dann irgendwie mit einem Knoppix oder ähnlichen Live-Linuxen rummodden? :eek:

Allerbeste Grüße
rallepr

Schau mal bitte ins Wiki zum Thema Zertifikat und Telnet.

Auch bei Vista ist Telnet dabei bzw. kann über Systemsteuerung / Programme nach installiert werden. Zu empfehlen ist aber eher eine Anwendung wie "putty". Damit hast Du dann ein Tool, das auch eine SSH Verbindung zulässt.
Läuft auch unter Vista / win7.

bevor Du die neuen Zertifikate auf die DS kopierst, ein Backup der alten machen.
Falls Du dann nicht klar kommst, fragen.

PS... da fällt mir grad ein, dass es im DSM jetzt eine Funktion gibt, mit der Du Dein eigenes Certifikat auf die DS laden kannst. Das landet dann an der richtigen Stelle. Das geht aber nur mit Certifikaten, die aus einer Datei bestehen. Bei CA Bundle Certifikaten ist dann doch Handarbeit angesagt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat