DSM 7.2 Https

[Mauke]

Hallo.

Firefox zeigt an, dass meine Verbindung zu meiner Synology unsicher ist.
Alles was ich an Beiträgen und YouTube Videoas gefunden habe(wie z.B. Http: Verbindungen automatisch zu Https: umleiten...) , sind Einstellungsmöglichkeiten die ich bei mir nicht finde.
Fehlt bei mir eine Voreinstellung?

Thx

 

[EDvonSchleck]

Meinst du nicht, ein bisschen mehr Input wäre gut?
Und warum ist der Beitrag mit DSM 7.2 gelabelt?
Nutzt du eine Domain, DynDNS und hast ein Zertifikat erstellt oder das selbst signierte Synology Zertifikat als sicher hinzugefügt?

 

[plang.pl]

Wenn du mit der IP-Adresse zugreifst, wird das immer so angezeigt. Zertifikate gelten nur für FQDNs und niemals für IP-Adressen

 

[ottosykora]

Fehlt bei mir eine Voreinstellung?

du kannst in Firefox (und andren Browsern auch) eine Ausnahme einrichten.
Dann bekommst du keine Warnung wenn du auf diese IP zugreifst.

 

[Mauke]

Hallo zusammen.
Danke für die schnellen Antworten.
Was ich eventuell vergessen habe zu erwähnen, ist, dass ich auf dem Gebiet absoluter Laie bin und mit den meisten eurer Abkürzungen DynDNS, FQDNs usw. nichts anfangen kann. Sorry.
Aber wenn ich mir Videos ansehe, gab es mal eine Auswahl von HTTP zu HTTPs.
Gibt es diese Funktion nicht mehr?
@plang.pl danke für den Hinweis mit der IP. Aber wie weiß ein Neuling, was ok ist und was ein Problem darstellt.
Gib es für Synology Neulinge eventuell eine minimale (Sicherheit) Anleitung?

 

[plang.pl]

Eine FQDN ist eine Web-Adresse (Laienhaft ausgedrückt), wie zum Beispiel "synology-forum.de". Wenn ich darauf zugreife, gilt das Zertifikat. Wenn ich aber mittels IP darauf zugreife, dann gilt es nicht.
Diese Option, de du beschreibst, gibt es noch. Das hat aber auf die Gültigkeit des Zertifikats keine Auswirkung!
Im Heimnetz und -gebrauch ist es ok, mit http zu arbeiten, solange eben kein externer Zugriff stattfindet

 

[ottosykora]

Aber wenn ich mir Videos ansehe, gab es mal eine Auswahl von HTTP zu HTTPs.

eine Auswahl gibt es und gibt es nicht. Verschlüsselte Verbindung macht im eigenen Netzwerk wenig Sinn. Wenn man jedoch von extern zugreifen will, dann ist es schon sinnvoll. Man kann eigenen Schlüssel erstellen, diesem muss man jedoch bei jedem Browser etc wieder vertrauen aussprechen.
Ansonsten kann man kommerziell Zertifikate kaufen, oder einen Lets Encrypt ( LE ) bestellen und diesen verwenden.
Ob http oder https aufgebaut wird, das entscheidet schon mal die Adresszeile in dem Browser.

Bei einer http Verbindung wirst du auch keine Warnung bekommen, nur wenn du versuchst https und dein Browser kann den Zertifikat nicht verifizieren.

 

[Benie]

danke für den Hinweis mit der IP. Aber wie weiß ein Neuling, was ok ist und was ein Problem darstellt.
Gib es für Synology Neulinge eventuell eine minimale (Sicherheit) Anleitung?

Ich möchte Dir hier ein für Anfänger/Laien mit der DS wirklich lonenswertes Buch empfehlen. Das Buch ist sehr Praxisnah und führt einen auch dementsprechend in das Wesen der Synology DS ein. Auf der DS ist vieles nicht mit einem "PC denken" zu vergleichen, hierüber stolpern die meisten, die bisher nichts mit einem NAS / Server zu tun hatten.

Private Cloud und Home Server mit Synology NAS

von Andreas Hoffmann
(gibt es auch sonst bei mehreren einschlägigen Buchhändlern.)
Aber aufpassen, Wenn Du DSM 7.1.1 verwendest (was Du solltest) brauchst Du die 3. Auflage mit Erscheinungsdatum November 2022, da diese ab DSM 7.1.1 behandelt.
(Die 1.Ausgabe behandelt noch DSM 6.x, die 2. Ausgabe DSM 7.0)

 

[sky63]

Zertifikate gelten nur für FQDNs und niemals für IP-Adressen

Das ist so pauschal nicht ganz richtig. Das gilt im Umfeld von Synology und Lets Encrypt größtenteils es ist aber durchaus möglich eine IP-Adresse als SAN (Subject Alternative Name) im CSR anzugeben. Wenn die ausstellende CA das berücksichtigt kann man auch per IP zugreifen ohne Zertifikatswarnung.

gruss,
sky

 

[ottosykora]

ja, nur welche echte CA macht so was damit es auch wirklich von den Betriebssystemen und Browsern anerkannt wird ? und wozu soll es gut sein?
Man kann ja kaum so ein Zertifikat verifizieren wenn es auf eine interne IP erstellt wird. Also klar, technisch kann man es machen, gegeben falls selber erstellen, mit eigener CS die man dann in alle möglichen Clients einträgt, aber wozu?

 

[sky63]

Über Sinn und Unsinn kann man diskutieren und m.M.n ergibt es ab einer gewissen Größe und Komplexität durchaus Sinn eine eigene CA zu betreiben und das entsprechende root- Zertifikat per Softwareverteilung oder GPOs auf alle Clients zu verteilen. Und dann geht es ganz schnell das der Wunsch geäußert wird das in den Zertifikaten für interne Server neben dem FQDN als Subject eben auch Shortnames, Aliases und eben auch (fest vergebene) IPs stehen.

Aber mir ging es darum das des öfteren zu lesen ist das eine IP im Zertifikat grundsätzlich nicht geht, aber das stimmt eben so pauschal nicht.

Damit soll es mit diesem "Ausflug" zu CA, CSR, SAN und Co. aberauch gut sein.

gruss,
sky

 

[Mauke]

eine Auswahl gibt es und gibt es nicht.

Das habe ich gemeint.
Ich war neben nur Verunsichert, weil eben Firefox eine "Warnung" rausgeschrieben hat.
Andererseits möchte ich bei den Einstellungen auch keine Fehler machen. Ist doch alles sehr Umfangreich für einen Neuling.
Ich dachte ich verschiebe meine Daten von der Cloud auf meine NAS und das war's.

 

[EDvonSchleck]

Kannst du aktivieren, um die Sicherheit zu erhöhen.

 

[Mauke]

Genau das war ja mein Problem, dass ich diese Option nicht finden kann.
Oder nach besser, gibt es irgendwo eine Kurzanleitung zu den Sicherheitsoptionen. Quasi was sollte aktiviert werden, ohne das ich mich mit all den Abkürzungen die hier schon genannt wurden auseinandersetzen muss. Ich denke ich bin dafür schon etwas zu alt.
Eventuell noch der Hinweis, wie ich meine Synology betreibe. Nur Privat. Ich teile die Fotos mit meiner Familie. Und möchte alle meine Dokumente dort ablegen und von zwei Mac (Arbeitszimmer und Musikraum) zugreifen. Das war's vermutlich fürs erste. Das ganze eben möglichst sicher.

PS: Danke an alle für die Rückmeldungen.

 

[EDvonSchleck]

Sofern das Netzintern ist, musst du HTTPS überhaupt nicht benutzen.
Das wird nur interessant, wenn du eine Freigabe nach außen erstellst.

 

[ottosykora]

Genau das war ja mein Problem, dass ich diese Option nicht finden kann.

die findet sich bei DSM7x unter Login Portal

Quasi was sollte aktiviert werden, ohne das ich mich mit all den Abkürzungen die hier schon genannt wurden auseinandersetzen muss. I

ich denke das wird kaum möglich sein, du betreibst hier nicht eine externe Festplatte sondern einen Server.

Aber so wie du es nutzen willst sind alle diese extra Sicherheiten kaum nutzbar, auch ein https ist bereits im eigenen Netzwerk ohne Sinn. Das https also eine Transport Verschlüsselung dient lediglich dazu um es einem Hacker, der zwischen deinem Computer und der DS in der Leitung lauscht, die Arbeit etwas zu erschweren.