Antwort von Synology:
Guten Tag Herr XXX,
vielen Dank für Ihre Kontaktaufnahme.
Vielen Dank auch für Ihre sehr ausführlichen Tests und Informationen, da ich diese an unsere Entwickler weiterleiten kann, was uns bei der Verbesserung unserer Produkte hilft.
Was die Begrenzung der Zertifikatserneuerung angeht, so ist dies ein normales Verfahren, um Benutzer und Administratoren darüber zu informieren, dass sich der Schlüssel geändert hat, und somit gegen Man-in-the-Middle-Angriffe zu helfen.
Die eigentliche Einschränkung ist jedoch, dass das kostenlose Zertifikat von LetsEncrypt nur 3 Monate gültig ist. Sie können natürlich auch ein anderes Zertifikat installieren, die meisten Domänendienste (Registrar) bieten Zertifikate für 1, 2 oder sogar mehr Jahre an, normalerweise gegen eine Gebühr.
Was Ihre Anfrage betrifft, so kann ich versuchen, diese an unsere Entwickler als Feature Request weiterzuleiten, ich bräuchte jedoch Ihre Zustimmung zur Weiterleitung des Tickets.
Falls Sie weitere Fragen haben, stehe ich Ihnen jederzeit zur Verfügung.
Mit freundlichen Grüßen
XXX
Technical Support Engineer
Meine Präzisierung:
Lieber Herr XXX,
vielen Dank für die Antwort und das Angebot.
Ich ergänze gerne noch einmal, da ich noch weitere Erkenntnisse habe und gebe gerne mein Einverständnis, die Informationen zur Appentwicklung zu nutzen.
Das das Let's Encrypt Zertifikat alle 3 Monate erneuert wird ist soweit kein Problem.
Auch dass es eine Hinweisnachricht über den Zertifikatswechsel gibt, ist kein Problem.
Was die Sache jedoch unkomfortabel macht, ist der automatische Logout aus den Apps, bzw. die erneute Eingabe der 2FA nach Zertifikatswechsel und zusätzlich das unterschiedliche Verhalten jeder App.
Es sollte so sein, dass der Login selbst, als auch die 2FA stets erhalten bleiben und man beim Öffnen einer Synology App (Drive, Photos, DSCam, DS Finder,...) bzw. der Client Software (Drive, Surveillance,... auf dem Windows PC höchstens bei Nutzung einer DynDNS Adresse (nur diese kann man ja zertifizieren) ein Popup erhält "Zertifikat wurde geändert", das man mit OK bestätigen kann, bzw. bei Nutzung einer LAN IP (für PCs im selben Netzwerk) ein Popup erhält "Zertifikat wurde geändert" und dann noch das Übliche "Nicht vertrauenswürdig, trotzdem nutzen?" (da lokale IPs im LAN für HTTPS ja generell nicht direkt zertifizierbar ist)
Alles andere ist den meisten einfachen PC Nutzern, die nicht wie ich über IT-Kenntnisse verfügen und die Systeme administrieren, schwer bis nicht zu vermitteln, insbesondere nicht den einfachen Schreibkräften, so meine praxisnahen Erfahrungen über diverse Firmen hinweg.
Verhalten von Apps/Clients:
Drive App iOS:
Hier gibt es beim Öffnen lediglich ein kleines rotes Symbol auf dem Startscreen. Man kann durch alle Daten durchscrollen, aber sie werden nicht mehr aktualisiert. Der grundsätzliche Login (User/Passwort) ist hier nicht weg, aber die 2FA ist ausgeloggt. Dann muss man über das Einstellungszahnrad gehen und dort sieht man dann nur unter Status "6-stelligen Code eingeben" und man muss das Gerät dann wieder erneut auf "Speichern" setzen, damit die 2FA erhalten bleibt, aber eben nur bis zum nächsten Zertifikatswechsel. Dann verschwindet das rote Symbol.
Nach öffnen der Drive App unter iOS:
Beim Tippen auf die 3 _ mit dem Punkt
Graue Meldung beim Status zu sehen
Code Eingabe für 2FA mittels Google Authentificator + Neues setzen der Option "Dieses Gerät speichern" (wird beim Zertifikatswechsel auch verworfen) nötig
Status Zeile verschwindet nach erfolgeicher Eingabe der 2FA und Drive ist unter iOS wieder nutzbar.
Drive Client Windows 10:
Habe ich ja oben schon ausführlich beschrieben.A Aber ergänzend: Hier sollte es auch auf keinen Fall passieren, das es einfach einen stillen Logout ohne sofort erkennbare Nachricht gibt (bis auf das winzige Symbol im Sys-Tray, dass in der Regel nie direkt zu sehen ist, außer man klappt die Sys-Tray von Hand auf, was im normalen Arbeitsbetrieb kein User macht). Ein Popup über die Meldung, dass das Zertifikat getauscht wurde, wäre OK, aber kein kompletter Logout mit umständlichem Re-Login und erneuter 2FA Eingabe + Speicherung des Gerätes. Der Drive auf dem Windows 10 Client is die betriebskritischste App und es werden tägliche Backups von Der Synology DS zu einer anderen Synology DS gefahren, die dann die neuen Daten vom Client nicht enthalten. Und andere Clients können dann auch nicht mit den Daten arbeiten, da sie nicht mehr hochgeladen werden.
Photos App iOS:
Hier ist es besonders ärgerlich, wenn der Zertifikatswechsel Eintritt. Zunächst einmal wird der Login selbst (User/Paswort) nicht ausgeloggt. Dafür kommt direkt ein Popup mit der Eingabeaufforderung für die 2FA und man muss auch hier dann erneut den Haken setzen, dass das Gerät gespeichert werden soll. Da ich jedoch viele User habe, die die Photos App auf dem Smartphone hauptsächlich vorrangig für die Backupfunktion nutzen und die Backups der Fotos z.B. nur auf dem iPad oder PC anschauenm, nicht aber auf dem Smartphone, öffnen Sie die App auch selten. Problem: Sobald das Zertifikat wechselt bleibt zum einen die automatische Backup-Funktion neuer Fotos auf das Synology NAS stehen und zum anderen werden keine neuen Fotos mehr vom Synology NAS geladen. Und dann kommt es: Hat man die 2FA wieder eingegeben und gespeichert, aktiviert sich die Backupfunkton und das Nachladen der Fotos nicht in jedem Fall. Manchmal laufen Sie einfach nicht mehr und zwar so lange, bis man den Benutzer auf dem iOS Gerät einmal ausloggt und einmal komplett neu einloggt. Das ist dann erst recht ärgerlich, weil hierbei von der Photos App der gesamte Cache der App gelöscht wird. Dann muss man alle Fotos neu in den Cache laden (ich habe iOS Geräte mit 40.000 Fotos im Cache der App) und zwar von Hand, in dem man einmal die gesamte Historie/Personenerkennung usw. durchscrollen und ggf. auch die Nutzeransicht (z.B. von Tag auf Monat) wieder umstellen muss. Das kann eine ganze Weile Zeit in Anspruch nehmen und das alle 3 Monate. Dazu passiert es ab und an, dass sich der Cache von "Unbegrenzt" dann von selbst auf "500MB" zurückstellt. Passiert nicht immer aber ab und an. Ein System habe ich dabei noch nicht erkannt. Es wäre vielleicht sinnvoll den Cache grundsätzlich bei einem Re-Login (Abmelden und wieder Anmelden) mit dem selben User nicht zu löschen, bis man ihn explizit selbst löscht, oder nach dem Abmelden einen anderen User auf dem iOS Gerät einloggt.
DS Cam App iOS:
Hier fliegt beim Zertifikatswechsel natürlich auch die 2FA raus und somit kommen auch keinerlei Pushs mehr für definierte Bewegungen, die die Kameras erkennen. Meine User nutzen aber meist genau diese Push-Meldungen, bevor Sie die App öffnen, um nachzuschauen, ob die Pushmeldung ein Fehlalarm oder ein echter Alarm ist. Und wenn keine Push Meldungen kommen, denken die User, dass alles OK ist und öffnen natürlich auch die App nicht und bemerken auch so den Zertifikatswechsel nicht. HTTPS mit DynDNS und somit die Verwendung des Zertifikats ist jedoch notwendig, da die User ja auch von Unterwegs mit Push Mitteilungen versorgt und auf die Kameras aufschalten können sollen. Ein klassisches Henne-Ei Problem.
DS Cam Client Windows 10:
Hier kommt beim Öffnen des Client nach dem Login (der ist ja immer erforderlich und das ist auch OK so) die Meldung, dass das Zertifikat gewechselt wurde und das das neue Zertifikat nicht vertrauenswürdig ist. Das ist soweit OK, da ja per lokaler IP Zugegriffen wird (hier könnte man noch über einen DynDNS Loopback Zugriff nachdenken). Aber auch hier ist die erneute Eingabe der 2FA inkl. Gerät speichern alle 3 Monate neu zu setzen.
DS Finder App iOS:
Wird zwar nur bei Bedarf genutzt, aber auch hier fliegt die 2FA raus und manchmal klappt es auch nur nach einem vollständigen Abmelden und neu Anmelden des Users wieder Zugriff auf die Diskstation zu erlangen.
DS File App iOS:
Hier reicht eine erneute Eingabe der 2FA, aber auch hier sollte diese eigentlich nicht verloren gehen, wenn ich das Gerät permanent speichere.
Ich hoffe diese Ausführungen helfen noch besser das Thema zu analysieren und hoffentlich auch baldmöglichst abzustellen.
Viele Grüße
XXX
