Bringt HTTPS was ohne gültiges Zertifikat

[Alex1984]

Hallo zusammen,

mal ne blöde frage: Bringt mir das aktivieren von https (port 5001) auf meiner DS etwas wenn ich keine eigene Domain bzw. Subdomain habe für die ich ein gültiges Zertifikat besitze? Ich habe lediglich einen Account bei no-ip.com und aktuell gehe ich nur via HTTPS von ausen auf meine DS. Das führt natürlich dazu das immer die nervige Sicherheitswarnung kommt und im browser das HTTPS meist durchgestrichen dargestellt wird.
Was heist das genau? Werden die Daten damit gar nicht verschlüsselt die ich zwischen Client und DS austausche und kann gleich via HTTP draufgehen?

 

[maDDin_1338]

hi,

soweit ich weiß, wird schon verschlüsselt übertragen, aber dein Browser will dich eben warnen, weil kein gültiges Zertifikat vorhanden ist..

 

[Thorndike]

Genau, die Übertragung der Daten ist verschlüsselt. Durch ein verifizierbares Zertifikat wird da nichts besser. Der Browser jammert nur weil er eben diese Verifikation nicht durchführen kann und somit nicht sicher gestellt ist das du der bist der du behauptest zu sein.

 

[mexx81]

Was grundlegendes zum Thema Zertifikate.

Bei dem Prozess spielen immer 3 Parteien mit. Das System welches das Zertifikat trägt, der Aufrufer (zum Beispiel: Browser) des Systems und der Zertifikatsaussteller.

Zertifikatsaussteller sind Anbieter wie GlobalSign, SSL Trust oder Geotrust. Diese Hersteller bieten in der Regel 3 verschiedene Level an. Das erste Level ist das kleines. Um ein Level 1 Zertifikat zu erhalten, genügt eine E-Mail Adresse. Für Level 2 muss man sein Personalausweis hinschicken und bei Level 3 sogar persönlich erscheinen. Je Höher das Level um so vertrauenswürdiger. Je vertrauenswürdiger um so mehr Funktionen wie eine grüne Adressleiste.

Gleichzeitig stellen die Anbieter Ihr Root-Zertifikat in allen Browsern zur Verfügung. Sprich sie haben eine Kooperation mit zum Beispiel Microsoft, damit deren Root Zertifikat im Stammzertifizierungsspeicher des Internet Explorers eingelagert wird. Stellt der Anbieter ein Zertifikat für Dein System aus, ist es ein, nennen wir es Kindzertifikat des Root Zertifikats.

Dieses Kindzertifikat setzt Du in Deinen Server ein. Betritt der Browser nun Deinen Server, so erhält er dieses Kindzertifikat. Einen Teil davon, will jetzt nicht so tief in die Technik gehen, weil es ums Konzept geht. Dieses Kindzertifikat sagt dem Browser nun, wer das Vater(Root)Zertifikat ist. Da Dein Browser das Rootzertifikat vom Aussteller des Kinzertifikats als vertrauenswürdiges Stammzertifikat trägt, wird der Verbindung vertraut. Der Aussteller des Root- und Kindzertifikats tritt somit als 3 Partei auf, die sicherstellt, dass Dein Server der richtige ist. Er ist somit ein Beglaubiger der Verbindung bzw. Beglaubiger der Identität Deines Systems.

Nutzt Du kein Belgaubigtes Zertifikat, welches von einen Zertifikatsausteller erstellt wurde, sondern ein selbst erstelltes Zertifikat, musst Du als Anwender diese Beglaubigung manuell durchführen. Diese Warnung die Du bekommst, sollte man als "fremder" lesen, sich das Zertifikat ansehen und dann beurteilen, ob man diesem System vertraut.

Schau Dir mal gängige HTTPS Seiten wie von Deiner Bank an. Da wird das Thema deutlich.

 

[frankyst72]

... und man kann wohl sagen, je teurer ein Zertifikat ist, so wird es von umso mehr exotischeren und älteren Browserversionen unterstützt (z.B. uralte IE-Versionen, etc.). Ich habe allerdings noch keine negativen Erfahrungen mit dem kostenlosen StartSSL-Zertifikat gemacht. Von StartSSL kannst Du ein kostenloses Zertifikat für die Subdomain Deiner Domäne bekommen.
https://www.youtube.com/watch?v=fIJqppzwZC0

Aber letztendlich spart man nur die Warnmeldung ein im Browser. Nach meinen Erfahrungen funktioniert auch WebDAV unter Windows anstandslos mit einem solchen Zertifikat, was es ohne nicht so ohne weiteres tut.

 

[raymond]

Das müsste Synology unbedingt verbessern, dass das einfacher geht ein neues zu erzeugen und einzuspielen.

 

[mexx81]

Synology müsste/könnte als Zertifikatsaussteller auftreten und das Rootzertifikat verteilen. Dann müsste jedes Zertifikat welches man über das NAS erstellt vom Rootzertifikat abstammen und schon müsste man nicht manuell beglaubigen. Wird aber sicherlich kompliziert werden und birgt auch mißbrauch. ich habe ebenfalls sehr gute Erfahrung mit StartSSL gemacht.

 

[geimist]

Würde Synology das HIER implementieren, würde es in der Tat sehr einfach werden mit einem gültigen Zertifikat

Quelle: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf

 

[Alex1984]

OK danke für eure Infos, dann lasse ich auf jedenfall die Verschlüsselung an auch ohne Zertifikat

 

[mexx81]

auch ohne Zertifikat

???

Ohne Zertifikat gibt es keine Verschlüsselung. Das brauchst Du. Du hast zwar kein beglaubigtes Zertifikat, sondern ein selbsterzeugtes, aber eins brauchst Du defintiv.

 

[Alex1984]

Wie gesagt ich habe eine Simple DDNS Adresse bei no-ip.com

Habe keine eigene, kostenpflichte Domain für die ich ein SSL Zertifikat ausstellen kann.

Aber was denn nun: Ist es verschlüsselt oder nicht?

 

[Puppetmaster]

Wenn du https aktivierst, ist es verschlüsselt. Ebenso ist immer ein Zertifikat im Spiel, wenn du https nutzt.