DSM 7.0 Seit Update auf 7.0 keine Verbindung mehr über HTTPS möglich, Zertifikat nicht gültig

[xamoel]

Guten Morgen zusammen.

Ich habe einige Synos in Betrieb, irgendwie hat Synology da einen Bock geschossen bei den Zertifikaten.
Selbstverständlich nutze ich HTTPS zum Zugriff, sowohl per Browser als auch per App.

Im Browser klappt alles über den Webzugriff, via z.B. DS GET oder DS FILE kommt eine Fehlermeldung, das Zertifikat wäre ungültig. Egal ob im LAN oder via DDNS.

Auffällig ist, dass die Zertifikate (natürlich die Standard-Dinger, keine eigenen) nur bis 2022 gültig sind, während die auf der RS3614xs+ bis 2035 (DSM 7.0.1).
Ein Klick auf "Erneuern" des Zertifikats bringt nichts, da lädt es irgendeine "archive.zip" runter.

Hat jemand ein ähnliches Verhalten bemerkt und eine Idee??

 

[Ulfhednir]

Das ist kein Bock von Synology, sondern Bock der Browserhersteller.
https://www.heise.de/news/Browser-H...rtifikats-Lebensdauer-auf-1-Jahr-4796599.html

Da DSM über den Browser aufgerufen wird, ist die logische Konsequenz hier gleichzuziehen, bevor der Browser hier Fehler ausspuckt oder im schlimmsten Fall den Zugriff auf die Website komplett sperrt.

Was deine Fehlermeldung angeht: Ich gehe jetzt erst einmal davon aus, dass du selbstverständlich ein Lets Encrypt-Zertifikat für extern (DDNS) verwendest und nicht das selbst signierte, was auf deine interne IP ausgestellt ist. Solltest du es nicht tun, ist die Sachlage vollkommen klar.
Die im Zertifikat registrierte FQDN muss mit dem angesprochenen Server übereinstimmen. Ist das nicht der Fall, gibt es eine Fehlermeldung.

Im Kontext mit Lets Encrypt solltest du ebenfalls folgendes zur Kenntnis nehmen:
https://www.golem.de/news/tls-zertifikate-altes-let-s-encrypt-root-laeuft-ab-2109-159989.html

Solltest du mit Lets Encrypt Probleme haben, wäre es sinnvoll, wenn du das Zertifikat löschst und neu ausstellst.

 

[xamoel]

Ich glaube du hast das falsch verstanden.

Ich habe nie ein Zertifikat erstellt, oder dort irgendwas eingestellt. Via Webzugriff geht alles wie vor 7.0. Aber über die Apps habe ich plötzlich keinen Zugriff mehr, wenn ich HTTPS aktiviere.

Die Fehlermeldung im Browser (keine sichere Seite etc.) kann man ja einfach weiterklicken.
Über App kommt die angehängte Fehlermeldung.

Zertifikat natürlich nur das Syno-eigene.

 

[Honolulu Chicken]

Moin,

würde mich auch interessieren. Ich habe das gleiche Problem aber eine andere Meldung: "Verbindung mit dem Server nicht möglich. Bitte überprüfen sie ihre Netzwerkverbindung."

Sobald ich denn Haken bei HTTPS weg mache, gehts...
Gruß

 

[xamoel]

Ich denke es hat irgendwie die Syno- eigenen Zertifikate zerschossen mit dem Update.
Alle meine Synos auf 7.0 komm ich nicht drauf über HTTPS über die Apps, auch DS File z.b. nicht. Browser geht, mit der üblichen Fehlermeldung halt wie immer dass das Zertifikat nicht überprüft werden kann.

 

[the other]

Moinsen,
es sollte doch aber gehen mit https, wenn ihr (zB bei DS File App) unter den Einstellungen (BEVOR ihr euch anmeldet) den Haken entfernt bei "Zertifikat überprüfen"), oder?
Abgesehen davon: ich nutze hier eigene Zertifikate, damit ist es kein Problem (https UND Zertifikat prüfen)...

 

[ottosykora]

aber wie machst du es mit dem prüfen?
da muss doch eine öffentlich zugängliche Datenbank das können?

 

[the other]

Moinsen,
ähh...ehrlich gesagt: keine Ahnung ?
Als ich das NAS neu aufgesetzt habe, hatte ich ebenfalls die Fehlermeldung, dass das Zertifikat nicht überprüft werden kann...
Hab dann meine CA dem Android-Client bekannt gegeben, den Haken wieder gesetzt und es kam seitdem keine Fehlermeldung mehr rein...
Eben nochmal ausprobiert: geht mit DS File App und https und Zertifkatsprüfung ohne jedes Gemecker, Zugang steht, Zugriff möglich.

Vermutlich (!!!) gibt es da etwas DB-mäßiges...ähnlich wie beim Browser vielleicht? Manche CAs sind bekannt und werden akzeptiert, eigene oder andere CAs müssen bekanntgemacht werden. So läuft es ja bei zB Firefox.
Da die DS File APP so eng mit Android verbandelt ist, werden da ja idR die Zertifikate über das System gezogen/eingetragen. Diesem hab ich die CA bekannt gegeben, seitdem ist Ruhe.

 

[ottosykora]

ach so, du hast den CA key in den Android eingebunden. Das ist was anderes. Dann braucht es keine Anfrage extern machen. Die macht es jedoch, wenn Tickbox prüfen on aber lokal kann es nicht finden. Dann geht nur etwas mit einer CA die in der externen Datenbank bekannt ist. Das bringt man aber mit eigener CA nicht hin.

Ich habe halt auf meinem Phone keine Sicherheit eingestellt, dann kann ich auch keine neue CA importieren

 

[xamoel]

Wo sollte man den Haken denn finden können? Ist das dann eine Setting-Frage der Apps? Android, auch bei mir.

 

[ottosykora]

bei der App, zum Bsp DS File, gibt es untern ein Zahnrad, Einstellungen
dort den Haken für Überprüfung wegnehmen

 

[the other]

Moinsen,
@ottosykora hat es ja schon gesagt.
Nur: ich würde die App mal starten OHNE Netzverbindung (kein WLAN, kein Mobilfunk aktiviert), denn dann hast du genug Zeit, um das Rädchen zu finden...

 

[xamoel]

Gerade geprüft, der Haken ist bei mir nicht gesetzt und trotzdem geht es nicht...

 

[ottosykora]

dann kannst du auch die Zerts in deinen Android einzufügen, vielleicht nimmt auch Android die selfsigned nicht mehr an.
(war bei mir schon immer so übrigens)

Also Zertifikat exportieren, da gibt es dann ein archiv.zip
drin sind dann die Zertifikate, also eines ist CA und das gehört halt dann in den CA store

 

[xamoel]

Der Fehler tritt nur bei versuchten Verbindungen zu Synos mit 7.0 auf. Meine alte 3611xs, die nicht auf 7.0 updatfähig ist, geht tadellos mit https und selfsigned.

Das liegt definitiv am 7.0.

 

[the other]

Moinsen,
und bei mir läuft definitiv DSM 7 (mittlerweile mit 7.01), eigenem Zertifikat für https und Android...DS File App.
Es lief unter DSM 6, DSM 7 und jetzt eben auch 7.01.
Also schräg...das sehe ich auch so.

 

[xamoel]

Meinst du ein echtes "eigenes" Zert oder das Syno-eigene selbstsignierte? Nur das habe ich nämlich.

 

[the other]

Moinsen,
ich hab mir eine eigene CA angelegt, mit dieser dann ein selbstsigniertes Zertifikat für u.a. https.
Das Synology Zertifikat nutze ich gar nicht.

 

[xamoel]

Ah ok. Ich habe die Zerts der Syno nie angefasst, nutze nur die.

 

[the other]

Moinsen,
die Zerts von Synology sind aktuell (wegen der Browserbeschränkung) nur noch kurz gültig. Mit dem selbstsignierten Zerts kann ich die Dauer etwas verlängern (auf zB 10 Jahre)...da ich nur über VPN gehe und https somit auch nur "intern" nutze, sind die selbstsignierten für mein Szenario auch "sicher" genug.
Wenn du aber von extern mit https als Protokoll (und ohne VPN) arbeiten willst, dann benötigst du eh ein "echtes" wie zB die LetsEncrypt Zertifikate. Damit sollte es dann eigentlich easypeasy gehen...