Ich dachte genau diese Tatsache könnte man mit einem Root-Zertifikat "umgehen"?
Dein Lösungsvorschlag (vielen Dank!) per DynDNS: setzt das voraus, dass mein Router Fritzbox 7590) per Internet erreichbar ist?
Ich kenne keine andere Lösung für eine von Synology akzeptierte Umsetzung zur Wiedergabe von Videos über Synology Photos (und auch vorher Moments).
Und ja, die Fritz, bzw. viel mehr das Gerät des weitergeleiteten Ports dahinter, würde dann über z.B. MyFritz DynDNS von außen erreichbar sein.
Aber halt nur auf dem einen Port, den man für Synology Photos (oder bei 6.2.4 Moments) freigibt (der Port ist aber halt der DSM Port und somit auch gleichzeitig für DSM/Calendar/Drive in Nutzung).
Die Synology wird somit von außen auch für einen Fremden erreichbar, sofern er a) die DynDNS Adresse und b) gleichzeitig den weitergeleiteten Port und c) den passenden Benutzernamen, der das Recht für den Zugriff und d) das Passwort dazu (und optional, aber dringend empfohlen e) den aktuellen 2FA Key) kennt.
Außerdem braucht man, wie beschrieben den Port 80 aus dem Internet Richtung Synology über die DynDNS Adresse offen, wenn man das Let's Encrypt Zertifikat nutzen möchte.
Die Port Übersicht gibt es hier:
https://kb.synology.com/de-de/DSM/tutorial/What_network_ports_are_used_by_Synology_services
Und deshalb habe ich in meiner Beschreibung auch so ausführlich alles dokumentiert.
Wer sich natürlich nie mit ordentlichem Benutzer(gruppen)management, Zugangs- und Firewallregeln, sowie Zertifikat etc. beschäftigt und einfach nur seine Synology sperrangelweit in seinem LAN genutzt hat, der hat - sofern er solche Dienste korrekt nutzen möchte - jetzt ein Problem erst mal seine Synology auf Vordermann zu bringen.
Die Frage aller Fragen ist doch, wer sich per TLS mit einem Dienst auf der DS (oder überhaupt im eigenen Hausnetz) verbinden soll oder darf.
Darf es "Hinz & Kunz", dann ist es schon gut und empfehlenswert, wenn im Browser das Ausstellerzertifikat eines etablierten Zertifikatsausstellers gespeichert ist. So, wie es bspw. bei LE oder einem anderen Aussteller der Fall ist.
Handelt es sich aber bei den Zugangsberechtigten um eine definierte Menge von persönlich bekannten Personen (ich selbst, Familie, Freunde usw.) dann steht absolut nichts dagegen, das viele Jahre gültige Ausstellerzertifikat der eigenen "Privat-CA" an diese Personen zu verteilen (kann ja, weil nur den öffent. Schlüssel enthaltend, per Mail oder per eigener Webseite erfolgen) und von diesen (die ja genau wissen, dass es von mir kommt und mich persönlich kennen!) unter den vertrauenswürdigen Herausgebern im Browser und auch im Mailclient (bei Nutzung von S/MIME) installiert werden.
Und so wie ich es aus meiner beruflichen Tätigkeit gewohnt war, erzeuge ich jährlich (!) neue Schlüssel für TLS und S/MIME. Von ersteren bemerken die Nutzer meiner Dienste nichts, denn mein Herausgeberzertifikat ist noch eine Weile gültig.
Das beliebte Hinzufügen einer so genannte "Ausnahmegenehmigung" ist IMHO eine schlechte Krückenlösung.
Das Problem ist, dass Synology Photos (und auch vorher Moments) keine selbst erstellten Zertifikate mehr akzteptiert. Man kann es nicht einfach übergehen. Ich habe ja, dank 6.2.4 auch noch mein Synology Zertifikat, welches bis 2038 gültig ist. Für Photos ist das Ding absolut nutzlos. Es funktionieren nur offiziell anerkannte Zertifikate, sonst keine Video-Wiedergabe, nicht mal im eigenen LAN (per NAT-Loopback).
Neue eigene Zertifikate kann man seitens Synology sowieso gar nicht mehr erstellen. Diese Option wurde mit 7.0 ersatzlos gestrichen.
Neue offizielle Zertifikate sind seit der neuesten Anpassung vom 01.09.2020 (
https://www.heise.de/news/Browser-H...rtifikats-Lebensdauer-auf-1-Jahr-4796599.html) auch nur noch maximal 12 Monate gültig, die von Let's Encrypt sogar nur 3 Monate.
