Chat Client beim Start, Zertifikat für IP nicht vertrauenswürdig

[AMolki]

Hallo,
beim Start der Client App kommt immer der Hinweis, dass das Sicherheitszertifikat für die IP xxxxx nicht vertrauenswürdig ist.
Die NAS befindet sich im selben Netzwerk, die Anmeldung erfolgt aber über die Quickconnect ID.
Bei den Zertifikaten kann ich dem Chat-Server auch nichts zuordnen, da nicht aufgelistet.
Hat jemand von euch eine Idee?

VG
Andy

 

[Benie]

Sicherheitszertifikat für die IP xxxxx nicht vertrauenswürdig ist.

bist Du Dir Sicher, daß genau das da steht oder steht da doch etwas anderes? und daß Du Dich wirklich mit der Quick Connect ID anmeldest?

 

[plang.pl]

Bei QC wird bei lokaler Verbindung auf Peer-to-peer geschalten (IP). Eventuell kommt das daher, kann ich mir aber nicht vorstellen

 

[Benie]

Normalerweise, kommt bei QuickConnect bei der ersten Verbindung auf mit App nur die Anzeige, das die Verbindung nicht sicher ist und ob man dennoch vertrauen möchte. Ich denke, das eher wiederum von davon kommt, weil das Zertifikat eben für Peer-to-Peer mittels IP nicht verwendet werden kann.
Das vorhanden Zertifikat kann ja nur für den Zugang mittels Browser verwendet werden.

 

[Chiron McAnndra]

Hi, ich hab ein ähnliches Problem. Beim Starten des Chats kommt immer eine Meldung:

Wenn ich auf "Ja" gehe, dann funktioniert das natürlich.

In den Ereignissen taucht dazu jedes mal folgendes auf:
Protokollname: System
Quelle: Microsoft-Windows-DistributedCOM
Datum: 17.01.2024 18:04:17
Ereignis-ID: 10016
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: RECHNER\Username
Computer: Rechnername
Beschreibung:
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "RECHNER\Username" (SID: S-1-5-21-54478656-2863777345-524268033-1001) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} und der APPID
{15C20B67-12E7-4BB6-92BB-7AFF07997402} im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10016</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2024-01-17T17:04:17.0662972Z" />
<EventRecordID>54972</EventRecordID>
<Correlation ActivityID="{644bafbc-ea5b-4dcf-af80-86696132e0e7}" />
<Execution ProcessID="1068" ThreadID="19908" />
<Channel>System</Channel>
<Computer>Rechnername</Computer>
<Security UserID="S-1-5-21-54478656-2863777345-524268033-1001" />
</System>
<EventData>
<Data Name="param1">Anwendungsspezifisch</Data>
<Data Name="param2">Lokal</Data>
<Data Name="param3">Aktivierung</Data>
<Data Name="param4">{2593F8B9-4EAF-457C-B68A-50F6B8EA6B54}</Data>
<Data Name="param5">{15C20B67-12E7-4BB6-92BB-7AFF07997402}</Data>
<Data Name="param6">RECHNER</Data>
<Data Name="param7">Username</Data>
<Data Name="param8">S-1-5-21-54478656-2863777345-524268033-1001</Data>
<Data Name="param9">LocalHost (unter Verwendung von LRPC)</Data>
<Data Name="param10">Nicht verfügbar</Data>
<Data Name="param11">Nicht verfügbar</Data>
</EventData>
</Event>

Ich finde das dermaßen lästig, weil das daheim ist und es sich um MEINe NAS handelt, die den Chatserver beinhaltet und diese NAS nicht mal von außen Zugänglich ist, sondern ausschliesslich von Innerhalb meines Netzes. Wenn ich diesem Zugriff nicht vertrauen kann, dann müßte ich längst Dauergast in einer Psychiatrischen Praxis sein.

Was also muss ich tun, um auch meinem PC beizubringen, dass er in diesem Fall dem Vorgang IMMER vertrauen kann und mir diese Meldung nicht mehr anzeigen soll?

Danke,

CMA

 

[plang.pl]

Das Problem ist halt Folgendes: Du bekommst nur für eine Domain / DDNS-Adresse ein gültiges Zertifikat

 

[Chiron McAnndra]

Zum einen - geh mal der Einfachheit halber davon aus, dass ich von Zertifikaten keine Ahnung hätte - hatte ich nicht nach einem gültigen Zertifikat gefragt.

Zum anderen ist mir völlig egal, ob das ein gültiges Z ist oder nicht. Wenn ich auf "Ja" clicke, dann funktioniert es - also muss es eine Möglichkeit geben, das System so einzustellen, dass bei DIESEM Zertifikat eine Ausnahme-Regelung festgehalten wird, welche verhindert, dass die Meldung überhaupt erst erscheint.

Danach suche ich hier - und die Ausnahme soll natürlich auch nur an dieser Stelle ziehen und keine scheunentorgroße Sicherheitslücke aufreissen.

Es wäre doch wohl lächerlich, wenn ich als Besitzer und Betreiber eines Rechners nicht bestimmen dürfen soll, was ich als ungefährlich zulassen will oder nicht.

Wenn ich den Haken bei Anmelden per HTTPS rausnehme, dann kann ich die Verschlüsselungsfunktion nicht nutzen, denn dann wird mir gesagt, ich soll mich erneut anmelden - mit HTTPS. Also hab ich die Verschlüsselung auch abgeschaltet. So funktioniert das jetzt, aber das ist eben nicht die Lösung, sondern lediglich ein Workaround. Meine Frage ist nach wie vor offen und harrt einer Lösung.

 

[AMolki]

Moin!
#2 Ja. die Anmeldung erfolgt über QC. Ich vermute auch, dass dies dann auf die lokale IP umswitcht. Ich meine, die Zertifikatsfrage z.B. bei Drive oder AB4B-Client kommt auch einmalig, wenn ich über IP verbinde, das "Trotzdem" merkt er sich hier aber dauerhaft.

 

[Benie]

Trotzdem" merkt er sich hier aber dauerhaft.

Das tut er auch bei Chat.

Wenn ich mich einmal angemeldet habe, und nicht bewußt unter den Einstellungen auf "Abmelden" gehe, dann merkt sich die App das und beim nächsten Zugriff muß ich auch nichts mehr bestätigen oder gar Anmelden.

Alternativ könntest Du Dich auch über DNS anmelden. Wenn das Zertifikat dazu passt, kommt auch keine Abfrage zum trotzdem bestätigen.
Allerdings für Netzintern über W-Lan gehört noch dazu, daß Deine DynDNS auf die Netzinterne IP zeigt.

 

[AMolki]

Bei Chat macht er es bei mir nicht. Wenn ich das Programm komplett schließe und neu starte kommt der Hinweis mit dem Zertifikat. Benutzername und Kennwort und die automatische Anmeldung sind fest hinterlegt.
Gut. Das würde vielleicht nur einmal morgens erscheinen. Wäre aber schöner, wenn die Anmeldung unbeaufsichtigt komplett durchliefe.

 

[Benie]

Bekommst Du in den Einstellungen Angezeigt welches Zertifikat quasi "verwendet" wird?

 

[AMolki]

wo meinst Du genau? Im Clienten hab ich jetzt links oben und rechts oben die Einstellungen durchgeschaut und in der Admin-Konsole habe ich auch nichts gefunden.

 

[Benie]

Wenn Du in der HandyApp in die Einstellungen gehst, nachdem Du bereits angemeldet bist,

oben li 3 Striche klicken, dann oben re. kleines Zahnrad klicken, dann auf Vertrauensvolle Verbindung klicken. Dort müßte dann normalerweise das Zertifikat von QuickConnect zu sehen sein.

 

[AMolki]

Ups! Ich bin in der Windows-Desktop App. Deswegen erwähnte ich immer den "Chat Clienten".
Die HandyApp funktioniert.

 

[Benie]

OK, So wie es aussieht gleiches Problem auch bei @Chiron McAnndra

Das kann man nur verhindern indem man sich per DNS einloggt, hier wird das entsprechende gültige Zertifikat dafür benötigt wodurch dann auch diese Abfrage überhaupt nicht stattfindet. Einer IP kann halt Grundsätzlich keein Zertifikat zugeordnet werden.Sobald die IP eine Rolle spielt ist es nicht anderst möglich als diese Meldung abzunicken.
Das ganze passiert aber auch nicht immer wiederkehrend, wenn man sich nicht vom Chat mit der Abmeldenfunktion abmeldet, Geht normal beim schließen in den Tasktray, Einstellungssache, und kann auch mit Windows wieder automatisch gestartet werden. Ansonsten betrachtet die App das ganze immer wieder wie eine neue Verbindung. Wäre aber auch so auf dem Handy oder bei Drive etc.

 

[AMolki]

Alles klar!
So wie ich das eben ausprobiert habe: Die Abmeldung bewirkt das Problem nicht. Man muss das Programm wirklich im Tray komplett beenden.
Bei Neustart kommt dann wieder der Hinweis.
Bei Drive oder AB4B kommt kein weiterer Hinweis. Einmal die Verbindung eingerichtet, starten die Programme ohne Hinweis durch.
Naja, ist halt so.

 

[Benie]

Die Abmeldung bewirkt das Problem nicht

Solange das Programm nicht endgültig geschlossen wird ja, solange es im Tray lebt gilt es als nicht geschlossen. Wenn man die Tray Funktion deaktiviert wird es sofort geschlossen wenn man nach Abmeldung den Client beendet. Letztendlich spielerei mit den Einstellungen hierzu.

Bei Drive oder AB4B kommt kein weiterer Hinweis.

Auch hier meldet man das ganze nicht wirklich ab, erst wenn man die Verbindung beendet, bei ABB reich schon Abmelden, das ist ja dann wie beim Chat.
Bin aber noch auf eine andere Idee gekommen wie das im eigenen Netzwerk verhindert werden kann.

Systemsteuerung -> Anmeldeportal -> Register DSM , Haken bei auf https automatisch umleiten entfernen.
Im Chat Client mit der IP anmelden. Allerdings, können dann keine verschlüsselten Kanäle verwendet werden. Funktion muß hierfür auf der AdminKonsole deaktiviert werden.

 

[Chiron McAnndra]

Einer IP kann halt Grundsätzlich keein Zertifikat zugeordnet werden.

Der Chat wird adressiert über NASNAME.fritz.box - das ist keine IP (allenfalls in dem Sinne wie jede beliebige WEB-Adresse nichts andere als eine IP ist.
Wenn ich Funktionen der Fritzbox verwende, krieg ich ja auch keine solche Meldung.
Wie kann ich dafür sorgen, dass in der Kommunikation mit dem NAS dasselbe Zertifikat verwendet wird, das auch meine Fritzbox offensichtlich anwendet?

Oder falls das nicht geht: wie bekomme ich kostenfrei ein gültiges Zertifikat für meine NAS, die über NASNAME.fritz.box angesprochen wird?

 

[alexhell]

Für NASNAME.fritz.box bekommst du kein gültiges Zertifikat, dass von einer Certificate Authority kommt. Es muss nämlich von außen erreichbar sein bzw. bei DNS Challenge halt ein öffentlicher DNS Server sein.

 

[Benie]

Wenn ich Funktionen der Fritzbox verwende, krieg ich ja auch keine solche Meldung.

Kann vielleicht daran liegen, daß die FritzBox ihr eigenes Zertifikat hat.