SSL-Zertifikat einer "vertrauenswürdigen Zertifizierungsstelle"

[stefaktiv]

Die in der Synology Diskstation integrierte Möglichkeit zur Beantragung eines SSL-Zertifikats von Let's encrypt ist an sich eine prima Sache. Will man über das Internet mittels https-verschlüsselter Verbindung jedoch auf die DS zugreifen, dann hilft das Zertifikat von Let's encrypt nicht weiter, wenn man hinter einer Firmen-Firewall sitzt, die keinen verschlüsselten Zugriff auf Basis unbekannter Zertifikataussteller zulässt. Hier wäre meine Frage, ob irgendjemand schon einmal ein kostenpflichtiges SSL-Zertifikat eines bekannten Anbieters auf seiner DS eingesetzt hat und falls ja, von welchem Anbieter das war. Interessant wäre natürlich, ob es auch eine Lösung gibt, die auch einigermaßen bezahlbar ist.

 

[Andy14]

Also alle gängigen Betriebssysteme/Browser sehen Let's encrypt als vertrauenswürdig an!
Keine Ahnung was bei eurer Firma vorausgesetzt wird? Nur bestimmte Anbieter, dann müsste, man die erst mal raus bekommen.
Oder nur Organization Validation und/oder Extended Validation Certificates?

 

[TeXniXo]

Ich schließe mich dem Vorschreiber Andy14 an, dass Let's Encrypt "universeller" und praktisch plattformunabhängig agiert. Ich verwende DS hier in meiner Firma trotz strikten Sicherheitsmerkmalen problemlos dank SSL.

 

[Frogman]

Alle Intermediates von Let's Encrypt sind quersigniert von IdenTrust (Link) und damit praktisch uneingeschränkt vertrauenswürdig. In Q4/2016 sind die Let's Encrypt Root-Zertifikate (ISRG Root X1) von Firefox 50 als erstem Browser-Anbieter direkt als vertrauenswürdig eingestuft und somit nicht mehr auf die Quersignatur angewiesen.

 

[stefaktiv]

Also dann ist für mich die Frage, ob ich irgendetwas falsch konfiguriert habe. Denn selbst in meinem Firefox musste ich vor dem Zugriff das Zertifikat erst als vertrauenswürdigen Herausgeber importieren.

Meine Kombination ist eine Domain bei Strato, die ich auf Dynamic DNS gestellt habe. Meine Fritzbox verbindet sich zu dieser Domain. Die DS liegt hinter der Fritzbox und ist nur über den SSL-Port 81 erreichbar. Soll die Verbindung lieber direkt zwischen Domain und DS aufgebaut werden?

 

[Fusion]

verbindet sich zu dieser Domain ... finde ich eine sehr unglückliche Wortwahl, weil da weder was verbunden noch fest an ein Gerät gebunden wird.
Der dynDNS Client auf der Fritzbox sorgt dafür, dass die eigene aktuelle öffentliche IP bei Strato im DNS eingetragen wird und damit für den Domain-Namen immer ein aktueller A-Record / IP verfügbar ist.

Auf was lautet das Zertifikat denn? Auf den dynDNS Namen?
Wie rufst du die DS gerade auf? https://dynDNS:81 ?
Ist das Zertifikat nicht nur aktiv sondern auch den richtigen Diensten zugeordnet? Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren

 

[stefaktiv]

Ist das Zertifikat nicht nur aktiv sondern auch den richtigen Diensten zugeordnet? Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren

Daran hatte es ggf. gelegen. Ich hatte nicht gesehen, dass man trotz der Einstellung "Standard" noch pro Dienst festlegen kann, welches Zertifikat verwendet werden soll. Morgen werde ich sehen, ob es auch aus der Ferne hinter einer Firewall klappt. Besten Dank für die Hilfe.

 

[Fusion]

Ja, das ist unschön. Der "Standard" bei der Erstellung bewirkt gar nix, außer vielleicht, dass nach bei dem Zertifikat "Standard" drangeschrieben ist und es oben in der Liste steht, mehr aber auch nicht.
Der wirkliche Standard-(Dienst), also das Zertifikat zu verwenden, wenn keine andere Definition greift findet sich nämlich auch erst in der Dienste-Liste unter "Konfigurieren".
Bin ich beim aller ersten mal auch drauf rein gefallen.

 

[stefaktiv]

Leider hat es mich nur halb weitergebracht. Die Firmen-Firewall ist wohl so eingestellt, dass unbekannte Webseiten erst einmal "klassifiziert" werden müssen. Eigentlich ist das ein automatischer Prozess, der innerhalb von ein paar Stunden / Tagen abläuft. Aus irgendwelchen Gründen funktioniert das bei meiner Seite aber nicht und ich komm nicht dahinter, woran es liegen könnte. Ggf. weil man immer noch den Port mit :81 dahinter hängen muss, weil nur der verschlüsselte Port in der Fritzbox offen ist?

 

[Frogman]

Automatisiert werden vermutlich nur Port 80 und 443 abgearbeitet... alles andere ist kein Standard und wird daher in der Regel geblockt.

 

[TeXniXo]

Automatisierung via Regeln a la Heimnetzwerk-erreicht-dann...- gibt es in iOS aufgrund der strikten Apple-Restriktionen leider nicht. Daher ist der Tipp oben mit der Widget-Einbindung keine schlechte Idee.
Android ist darin sicher flexibler und offener.

 

[Frogman]

Falscher Thread?

 

[Darkwing9]

Beim Zugriff aus dem Firmennetz hatte ich die gleiche Problematik. Bei mir war das Problem, dass der Port 5001 nicht offen war.
Somit blieb nur der Port 443 und diesen habe ich daher im Router auf meine DS umgleitet (Umleitung Port 443 an DS Port 5001).
Danach hatte ich keine Probleme mehr mit dem Zugriff auf die DS. Problematisch sind nur die Dienste, die abweichende Ports haben (Plex, DVBLink usw.).

 

[stefaktiv]

Na dann probiere ich Morgen mal aus, ob es jetzt funktioniert. Gibt es in punkto Sicherheit irgendeinen Nachteil, wenn man den Standardport aufmacht?

 

[Frogman]

Nein.

 

[stefaktiv]

Beim Zugriff aus dem Firmennetz hatte ich die gleiche Problematik. Bei mir war das Problem, dass der Port 5001 nicht offen war.
Somit blieb nur der Port 443 und diesen habe ich daher im Router auf meine DS umgleitet (Umleitung Port 443 an DS Port 5001).
Danach hatte ich keine Probleme mehr mit dem Zugriff auf die DS. Problematisch sind nur die Dienste, die abweichende Ports haben (Plex, DVBLink usw.).

Hast Du auch Port 80 offen und ggf. den Webserver geschalten? Beim Versuch die Seite mit https aufzurufen leitet McAfee offensichtlich auf http um. Dort geht es bei mir natürlich nicht weiter. Ohne es genau zu wissen scheint es aber so zu sein, dass die Prüfung, ob eine unbekannte Seite problematisch ist oder nicht erst mal unverschlüsselt erfolgt. Da das aber nicht funktioniert, wird die Seite nie freigeschalten und kann damit auch nicht für den https-Aufruf genutzt werden. Daher die Überlegung auch eine "normale" Seite anzubieten, die dann unverschlüsselt über Port 80 erreicht werden kann. Ggf. gäbe es dann für die Domain auch einen "grünen Haken" und sie könnte auch via https aufgerufen werden.

 

[Ha34Meiner]

Für Strato Kunden bekommt man auch ein kostenloses SSL-Zertifikat für seine Domain. Aber man kann da die einzelnen Dateien (privater Schlüssel, Zwischenzertikikat) nicht herunterladen, um diese dann in seine DS einzuspielen. Oder wir haben etwas übersehen.

 

[stefaktiv]

Für Strato Kunden bekommt man auch ein kostenloses SSL-Zertifikat für seine Domain. Aber man kann da die einzelnen Dateien (privater Schlüssel, Zwischenzertikikat) nicht herunterladen, um diese dann in seine DS einzuspielen. Oder wir haben etwas übersehen.

Ja die Möglichkeit zum Zertifikat-Download habe ich auch gesucht aber nicht gefunden. Vermutlich geht es nicht. Das SSL-Zertifikat kann auch recht schnell von einer Domain des Pakets auf eine andere geändert werden. Vermutlich wäre es da hinderlich, wenn das vorher ausgestellte Zertifikat schon anderweitig verwendet würde.

 

[Darkwing9]

Ich habe den Port 80 nicht geöffnet. Das ist mir zu unsicher.

Bezüglich dem SSL Zertifikat war ich die letzten Jahre mit StartCom unterwegs. Da dem Zertifikat aber das "Vertrauen" entzogen wurde bin ich auf Lets Encrypt umgestiegen.

Ich greife von außen ausschließlich über https auf meine DS zu. DynDNS habe ich über die DS (DDNS mit Strato als Dienst) und Strato abgebildet. Der https Zugriff auf die DS von der Firma aus funktioniert einwandfrei solange keine abweichenden Ports benötigt werden. In diesem Fall gehe ich über OpenVPN auf die DS, dann funktioniert alles.

Viele Grüße Darkwing

 

[stefaktiv]

Hast Du auch Port 80 offen und ggf. den Webserver geschalten? Beim Versuch die Seite mit https aufzurufen leitet McAfee offensichtlich auf http um. Dort geht es bei mir natürlich nicht weiter. Ohne es genau zu wissen scheint es aber so zu sein, dass die Prüfung, ob eine unbekannte Seite problematisch ist oder nicht erst mal unverschlüsselt erfolgt. Da das aber nicht funktioniert, wird die Seite nie freigeschalten und kann damit auch nicht für den https-Aufruf genutzt werden. Daher die Überlegung auch eine "normale" Seite anzubieten, die dann unverschlüsselt über Port 80 erreicht werden kann. Ggf. gäbe es dann für die Domain auch einen "grünen Haken" und sie könnte auch via https aufgerufen werden.

Tatsächlich war ich mit meiner Überlegung richtig gelegen. Wenn man die Webstation aktiviert und Port 80 darauf umleitet, dann funktioniert auch der Zugriff via https. Offensichtlich muss einmalig ein Scan und die Klassifizierung der Seite in unverschlüsselter Form erfolgen, bevor der verschlüsselte Zugriff freigeschalten wird. Jetzt ist noch spannend zu sehen, ob es dann auch so bleibt, wenn Port 80 wieder geschlossen und die Webstation deinstalliert wird. Brauche ich ja eigentlich nicht. Blöd wäre, wenn jedes Mal eine Prüfung der unverschlüsselten Seite erfolgen muss, wenn man auf die verschlüsselte zugreifen will.