DSM 7.0 Lets Encrypt, OpenVPN und Zertifikate allgemein

[ForgottenRealmX]

Moin,

Vor DSM 6.x war das Standard Zertifikat von Synology ewig gültig, seit einem Update und bei neueren Geräten gilt es das Standard Zertifikat nur noch ein Jahr.

Dieses Jahr ist jetzt bei einigen meiner Kunden rum und OpenVPN meckert, dass das Zertifikat abgelaufen ist. Dumm nur, dass wir über Fernwartung (mit OpenVPN) jetzt auch nicht mehr auf die Geräte kommen, um das Zertifikat zu erneuern.
Seit DSM 7 gibt es anscheinend nur noch Lets Enctypt Zertifikate, welche die Situation nochmal verschlimmern, da sie automatisch nach 2 Monaten verlängert werden.

Sämtliche Anwendungen die ein Zertifikat benutzen, fliegen mir nach dem Update dann um die Ohren und verbinden nicht mehr. OpenVPN, SynologyDrive, Photos ... für mich selber ist es "nur" nervig, die Anwendungen alle 2 Monate neu zu verbinden. Einige Kunden haben allerdings 100+ Geräte im Umlauf, welche SynologyDrive und OpenVPN auf ihren Notebooks/Surface Geräten verwenden. Die Benutzer der Geräte haben weder die Zeit noch die Fähigkeiten, alle 2 Monate die Anwendungen neu zu verbinden.

Privat habe ich selber auch einige Synologys mit DSM7 und eigene Domains umgeleitet auf die Synologys, dazu dann auch die entsprechenden SSL Zertifikate vom Hoster im Synology eingebunden. Diese halten 1 Jahr, danach müssen sie allerdings aktualisiert werden.

Ich kann doch nicht der Einzige sein, der damit Probleme hat?

Grüße

 

[Ulfhednir]

Synology setzt im Kern nur allgemeingültige Sicherheitsanforderungen um. Dazu zählt 1.) das im Browser verwendete Zertifikate eine maximale Gültigkeit von einem Jahr besitzen und 2.) dass die Zertifikate vertrauensvoll sein sollten. Das schließt jetzt eine Vertrauensstelle mit ein.
Im Kern sind die Anpassungen nur Reaktionen auf die Handlungsanweisungen von Google, Firefox und Co.
Prinzipiell kann man in der Diskstation das LE-Zertifikat automatisiert erneuern. Was man "leider" nicht ändern kann, ist die Bestätigung auf Client-Seite.
Wenn man genau darüber nachdenkt, ist das auch aus Sicherheitsaspekten gar nicht verkehrt. Stichwort: Man-In-The-Middle

Das Problem mit dem Drive-Client habe ich mit einem selbst signierten Zertifikat gelöst, welches nach dem Update noch verfügbar war.
Prinzipiell kannst du aber auch anderweitig ein eigenes Zertifikat ausstellen und verknüpfen. Selbes Spiel wäre dann bei OpenVPN anzuwenden.
Die meisten im Forum werden dir aber sagen: Ein VPN gehört nicht auf das NAS, sondern an den Anschlusspunkt zum Internet - also dem jeweiligen Router.

 

[heavy]

@ForgottenRealmX dann habe ich eine Schlecht Nachricht für dich ab 2022 spätestens aber ab 2023 sollen ALLE Zertifikate nur noch 3 Monate lang gültig sein. Da es nicht möglich ist ein ausgegebenes Zertifikat zurückzunehmen und da es in der Vergangenheit immer wieder Probleme gab mit der Vertrauenswürdigkeit soll so der Schaden begrenzt werden.

 

[Uwe96]

Ich nutze seit über einem Jahr Open VPN. Allerdings Server auf Raspberry. Habe da noch nie ein Zertifikat erneuern oder ändern müssen.

 

[ForgottenRealmX]

Bzgl. VPN auf dem NAS, davon hab ich schon einiges gelesen, allerdings kommt eine andere Lösung für uns derzeit nicht in Frage.
Wir haben etwa 50 kleinere Betriebe mit 1-5 Mitarbeitern, welche alle nur eine FritzBox haben und andere Router preislich kaum durchzubringen sind. Wäre auch eine zu große Umstellung derzeit. Diese kleinen Betriebe sind idR. nicht das Problem, eher die größeren. Dort können wir die Router nicht ändern, da diese von einer anderen Firma verwaltet werden.
Daher VPN auf dem NAS bzw. in einer VirtualDSM auf dem NAS. Zudem haben alle Betriebe mit mehr als einem NAS eine LDAP Umgebung (nicht Windows AD), welche dann auch die Benutzerkonten für den VPN Dienst bereitstellt. Das lässt sich z.B. mit dem Fritz VPN nicht lösen.

Kurzum, VPN bleibt auf dem NAS.

Die Gründe, warum die Zertifikate nach 2-3 Monaten aktualisiert werden sind mir bekannt und auch verständlich, aber es muss auch eine Lösung geben damit ich nicht 2 Tage am Stück alle 2-3 Monate bei den größeren Kunden damit beschäftigt bin, SynologyDrive und OpenVPN Verbindungen über Fernwartung zu aktualisieren. Das ist absolut unpraktikabel. Hier müsste Synology zumindest für Drive die Möglichkeit bieten eine "Akzeptier das Zertifikat automatisch auch wenn es geändert wurde" Option hinzuzufügen ...

Daher gebe ich die Frage noch mal in die Runde: Wer arbeitet mit z.B. SynologyDrive und hat eine Lösung für das Zertifikats-"Problem"?

 

[synfor]

Hier müsste Synology zumindest für Drive die Möglichkeit bieten eine "Akzeptier das Zertifikat automatisch auch wenn es geändert wurde" Option hinzuzufügen ...

Nein. Wenn auf Sicherheit keinen Wert gelegt wird, warum werden dann überhaupt verschlüsselte Verbindungen genutzt?

 

[DeepNAS]

Daher gebe ich die Frage noch mal in die Runde: Wer arbeitet mit z.B. SynologyDrive und hat eine Lösung für das Zertifikats-"Problem"?

Bei mir war das früher auch immer so, aber ich glaube mittlerweile hat Synology das beim Drive Client gefixt?

Ich habe das zwar nicht regelmäßig im Einsatz, aber bei der letzten automatischen Erneuerung des Let's Encrypt Zertifikat für die von Drive verwendete Verbindung gab es keine Probleme in Form von neu bestätigen des Zertifikates o.ä.

Das ist ja auch genau der Sinn und Zweck von der Verwendung eines Zertifikates von einer "vertrauenswürdigen" Aussteller Stelle. Voraussetzung ist natürlich, dass die verwendete Software (in dem Fall der Drive Client) entweder den Zertifikatstore des Betriebsysttems auswertet (wie es z.B. Chrome auch macht), oder selbst einen entsprechenden Store führt (wie es z.B. Firefox macht) in dem Let's Encrypt als "vertrauenswürdiger" Aussteller geführt wird.

Ich hab das nie verstanden, dass alle möglichen Synology Clients (z.B. Drive, Active Backup) die LE-Zertifikate immer so behandelt haben als ob es ein selbst unterschriebenes Zertifikat ohne Vertrauensanker wäre...

Da aktuell mein Laptop mit Drive noch ohne Meckerei läuft, obwohl am 5.10. die letzte Erneuerung von LE war, dachte ich Synology hat das mittlerweile mal irgendwann rein gepatcht.

Drive Client ist bei mir 3.0.1
DSM die 7'er Version

 

[MissErfolg]

Ich klinke mich hier mal mit ein.

Bin gerade auch über das Problem gestolpert. Hatte schon gedacht, ich sei zu doof, dass einfach lösen zu können.

Da ich das Teil nur intern nutze, hätte ich gerne ein Zertifikat, welches "endlos" gültig ist. Die Gefahr von einem ManInTheMiddle-Angriff ist da wohl überschaubar. Ein LE-Zertifikat schließe ich aus, weil ich dieses alle 3 Monate manuell verlängern müsste. Das nervt mich schon auf meinem ReverseProxy-VM. Jedes Mal den Port 80 temporär öffnen... etc.

Bin also auch an einer dauerhaften Lösung interessiert.

 

[the other]

Moinsen,
ich hab für die rein internen Zwecke einfach selber eine eigene CA eingerichtet, die mir meine Zertifikate ausstellt. Dabei kann ich dann eben entgegen der best-practice Regeln Zertifikate anlegen, also selber die Gültigkeit bestimmen und das ganze auch auf eine IP statt fqdn ausstellen.
Wie lange die Browser da mitspielen, mal sehen...bisher für den Browserzugriff aber praktikabel und ohne Ausnahme und Gemecker für den https Zugriff in Ordnung. Auch die synology Apps tolerieren das bisher (wobei ich nix mit drive am Hut habe).
Im kleinen Heimnetz aber bislang ausreichend. Da keines der Geräte mit eigenem Zertifikat im Netz steht für mich auch sicher genug.

 

[xamoel]

Möchte dazu auf meinen Thread verweisen: https://www.synology-forum.de/threa...tps-moeglich-zertifikat-nicht-gueltig.117187/

Hab inzwischen ein LetsEncrypt erstellt, funzt über CHROME Https problemlos. Über Android-APPS allerdings nicht... Support seit September dran, bringt null... Gute Arbeit Synology.