Hallo zusammen,
Seit Tagen zerbreche ich mir den Kopf über das Thema Client Certificates.
https://en.wikipedia.org/wiki/Client_certificate
Vorgeschichte:
Ich habe eine Diskstation die im Wesentlichen als Backup- und Kalender-Server bei uns zu Hause läuft. Leider kann das Iphone meiner Frau beim Zugriff auf den Server nicht berücksichtigen in welchem Netz es sich gerade bewegt. D.h. Egal in welchem WLAN oder Mobilfunknetz, es versucht die (lokale) IP-Adresse der Diskstation zu finden und sich zu verbinden. Das bedeutet im Umkehrschluss: Wenn dort zufällig ein Server (und böswillig das Passwort einfach akzeptiert) läuft wird das Iphone diesem
Ist kein Server erreichbar zeigt das Iphone nervtötende Fehlermeldungen. Das ist hinsichtlich des WAF noch schlimmer als das Sicherheitsrisiko.
Also forwarde ich WEBDAV (https) auf eine öffentliche IP und das Iphone kann von jedem Ort der Welt auf das NAS zugreifen. Ich verwende Let’s Encrypt Zertifikate, so dass die Verbindung ohne Aufwand verschlüsselt wird.
Aber:
Nun ist mein WEBDAV-Server aus dem Internet erreichbar. Nun ist
Ich habe mich in der Fragen an den Support gewendet: Die Antwort war, ich solle https verwenden weil dann die Verbindung verschlüsselt sein was verhindere, dass das Passwort im Klartext übertragen werde... Das war mir auch klar. Aber das erhöht die Sicherheit nicht wirklich.
Nun bin ich auf das Thema Client Certificates gestoßen und habe ein wenig experimentiert - leider ohne Erfolg
Meine Fragen:
Besten Dank im Voraus.
Sebastian
Seit Tagen zerbreche ich mir den Kopf über das Thema Client Certificates.
https://en.wikipedia.org/wiki/Client_certificate
Vorgeschichte:
Ich habe eine Diskstation die im Wesentlichen als Backup- und Kalender-Server bei uns zu Hause läuft. Leider kann das Iphone meiner Frau beim Zugriff auf den Server nicht berücksichtigen in welchem Netz es sich gerade bewegt. D.h. Egal in welchem WLAN oder Mobilfunknetz, es versucht die (lokale) IP-Adresse der Diskstation zu finden und sich zu verbinden. Das bedeutet im Umkehrschluss: Wenn dort zufällig ein Server (und böswillig das Passwort einfach akzeptiert) läuft wird das Iphone diesem
- Benutzernamen/Passwort
- Kalender
- Termine
- Fotos
- Sonstige zu synchronisiernde Daten
Ist kein Server erreichbar zeigt das Iphone nervtötende Fehlermeldungen. Das ist hinsichtlich des WAF noch schlimmer als das Sicherheitsrisiko.
Also forwarde ich WEBDAV (https) auf eine öffentliche IP und das Iphone kann von jedem Ort der Welt auf das NAS zugreifen. Ich verwende Let’s Encrypt Zertifikate, so dass die Verbindung ohne Aufwand verschlüsselt wird.
Aber:
Nun ist mein WEBDAV-Server aus dem Internet erreichbar. Nun ist
- Mein Glaube in die fehlerfreie Implementierung der Software begrenzt
- und der einzige Schutz aller Daten auf dem NAS ist Benutzername/Passwort.
Ich habe mich in der Fragen an den Support gewendet: Die Antwort war, ich solle https verwenden weil dann die Verbindung verschlüsselt sein was verhindere, dass das Passwort im Klartext übertragen werde... Das war mir auch klar. Aber das erhöht die Sicherheit nicht wirklich.
Nun bin ich auf das Thema Client Certificates gestoßen und habe ein wenig experimentiert - leider ohne Erfolg
Meine Fragen:
- Welcher Serverdienst macht den WEBDAV/CALDAV/CARDDAV auf der Synology? In den nginx-config files habe ich nichts gefunden.
- Ich habe versucht einen reverse proxy mit nginx auf den WEBDAV Dienst zu machen - das geht auch, aber nur wenn ich beide auf "https" stelle - warum?
- Ich habe versucht diesen reverse proxy mit client certificates wie hier beschrieben http://nategood.com/client-side-certificate-authentication-in-ngi auszurüsten. Aber dann werden die Zertifikate nicht akzeptiert. Kann es sein dass ich nicht gleichzeitig das Let's Encrypt-Zertifikat als Server-Zertifikat und mein selbstausgesetlltes als Client-Zertifikat benutzen kann?
- Ich bin mir nicht sicher, ob das Iphone überhaupt Client Certificates kann... Kann das jemand bestätigen?
Besten Dank im Voraus.
Sebastian
