Ist https mit einem nicht signierten Zertifikat unsicher?

Status
Für weitere Antworten geschlossen.

flashdoebi

Benutzer
Mitglied seit
24. Jul 2017
Beiträge
10
Punkte für Reaktionen
2
Punkte
9
Guten Abend,

ich habe eine DS216+II, nutze Calendar. Greife mit Android, DAVdroid mit https auf den Calendar zu.
Ich habe bei der DS für den Calendar Dienst das Standard Synology Zertifikat im Einsatz.
Das Zertifikat habe ich bei keiner Zertifizierungsstelle signieren lassen.
Bei der Herstellung der ersten Verbindung mit DAVdroid zum Calendar habe ich das Zertifikat akzeptiert.
Nun meine Frage: Hat es für den Privateinsatz irgendwelche sicherheitstechnischen Relevanzen, ob ich das
Zertifikat signiert habe, oder ob ich es wie ich einfach beim ersten Kontakt zwischen DAVdroid und der DS akzeptiert habe.
Dann wird das Zertifikat ja sicherlich in DAVdroid als vertrauenswürdig gespeichert.
Ist dieses Vorgehen genauso sicher wie ein Zertifikat, das von einer CA signiert ist?

Auch habe ich im Wiki bei Synology gelesen, man solle ein selbst signiertes Zertifikat erstellen und die .crt Datei im Android Handy speichern.
Habe keine Ahnung wie ich an die .crt Datei kommen soll. Wenn ich das Zertifikat, ob das Synology Standardzertifikat oder ein selbst erstelltes,
exportiere, bekomme ich beim extrahieren des zip Archivs keine .crt Datei.
Ich dachte immer, dass man die nur von einer Zertifizierungsstelle bekommt, nachdem man diese mit öffentlichem Schlüssel usw. anfordert.
Wenn ich wie oben beschrieben das Zertifikat mit DAVdroid bestätige, ist es doch ebenfalls beim Programm gespeichert, das das Zertifikat benötigt.

Danke und Grüße
Philipp
 
Mitglied seit
10. Jun 2018
Beiträge
97
Punkte für Reaktionen
0
Punkte
12
Zuletzt bearbeitet:

heavygale

Benutzer
Mitglied seit
02. Jun 2012
Beiträge
315
Punkte für Reaktionen
2
Punkte
24
Ist dieses Vorgehen genauso sicher wie ein Zertifikat, das von einer CA signiert ist?
Ja, denn das Zertifikat hat mit der eigentlichen Verschlüsselung garnichts zu tun.

Die ganze Sache mit den Zertifikaten dient nur dazu, zu "beweisen", dass die Schlüssel für die verschlüsselte Verbindung auch vom erwarteten Betreiber des betreffenden Dienstes generiert wurden. Da du beim Surfen im Internet ja nicht jeden Diensteanbieter kennen kannst gibt es die Zertifizierungsstellen denen man (bzw. der Browser per Voreinstellung) vertraut und die durch das Signieren von Zertifikaten zeigen, dass das Zertifikate und die dahinterliegenden Schlüssel auch von der Person/Organisation erstellt wurden, die den Dienst anbieten. Bei selbstsignierten Zertifikaten kommt im Browser dann eine Fehlermeldung, weil der Browser nur diese erwähnten Zertifizierungsstellen kennt, das Zertifikat aber selbst erstellt und somit nicht von einer solchen Stelle signiert ist. Fügt man eine Ausnahmeregel hinzu, so wird das Zertifikat dann für die Adresse aktzeptiert und man kann wieder normal surfen - die Verschlüsselung ist dabei genauso sicher wie mit einem von einer Zertifizierungsstelle signierten Zertifikat.
 

flashdoebi

Benutzer
Mitglied seit
24. Jul 2017
Beiträge
10
Punkte für Reaktionen
2
Punkte
9
Danke Euch beiden für die Antwort.

Habe ich schon vermutet, dass die Sicherheit da nicht darunter leidet. Ein Bekannter hat mir neulich erzählt, dass mir jemand ein anderes Zertifikat unterjubeln kann,
wenn es nicht von einer CA signiert ist. Habe in der DS aber schon mal ein neues Zertifikat zum Testen erstellt und für Calendar eingesetzt, da hat gleich DAVdroid gemeckert.
Das darf man dann halt nicht leichtfertig akzeptieren. Aber irgendwie müssten man ja auch auf den "falschen" Server geleitet werden.
Vielleicht ist es ja sogar von Vorteil, wenn ich die Echtheit selbst checken kann. Z.B. wenn eine CA kompromittiert würde.

Ist eigentlich ein jedes Synology Standardzertifikat einer Diskstation verschieden zu einer anderen? Die werden doch wahrscheinlich beim Einrichten von DSM generiert, oder?

Grüße!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Ja, kontrollieren der Fingerprints ist das A und O, wenn man sicherer sein will.

Ja, die Zertifikate sind verschieden, wäre ja fatal andernfalls, wenn 10000 DS mit demselben Zertifikat rumstehen. :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat