Cloud Station SSL-Zertifikat nicht vertrauenswürdig...

[losch]

Beim Herstellen der Verbindungen von meinen Notebooks zum Cloud Station Drive kommt diese Meldung:



Was soll mir das sagen? Ich habe die Nachricht zunächst ignoriert und "Trotzdem fortfahren" geklickt und anschließend funktioniert auch alles wie gewünscht, aber sie lässt mir dennoch keine Ruhe. Die Verbindung zum NAS erfolgt via Fritz!Box 6490 WLAN und ich wüsste nicht, wer oder was meine Verbindung abfangen könnte.

Grüße losch

 

[vbtobi]

Rufst du die DS via IP Adresse auf?

 

[losch]

Nein, mit der Quickconnect ID, Benutzer und Passwort.

 

[vbtobi]

Hast du ein selbst unterzeichnetes Zertifikat? Wenn ja wird es meist als, "Nicht vertrauenswürdig" eingestuft. Wie es aber bei Quickconnect ist kann ich dir nicht sagen.

 

[losch]

Das ist das Prolem. Ich nutze ausschließlich Synology-Software und mir ist nicht klar, wo ich da irgendetwas zertifizieren könnte oder sollte. Bei der Vielfalt an Synology-Schrauben ist mir da aber sicher was untergegangen.

 

[frankyst72]

Also, wenn Du bisher kein Zertifikat in Deine DS erstellt/importiert/angelegt hast, dann brauchst Du Dir keine Sorgen machen. Wenn Du ein von einer öffentlichen CA ausgestelltes Zertifikat hättest und dann die Meldung kommt, dann solltest Du nachforschen.

Die DS stellt sich selbst ein Zertifkat aus. Wenn Du dieses nicht auf Deinem Rechner importiert hast, kann der Rechner nicht zweifelsfrei überprüfen, ob er sich mit der richtigen DS unterhält. -> Meldung

Abhilfe schafft ein Zertifikat einer öffentlichen CA (z.B. eine kostenloses Zertifikat von Let's Encrypt, Systemsteuerung > Sicherheit > Zertifkat > Hinzufügen)

 

[losch]

Herzlichen Dank für die sehr verständliche und zufriedenstellende Erklärung!

Frohes Weihnachtsfest wünscht losch

 

[stefan19773]

Hallo,
auch ich habe dies Fehlermeldung,
allerdings habe ich selbst erstelltes SSL-Zertifikat der Firma Let`s Encrypt.
Bei allen anderen Diensten, wie zb. HTTPS oder auch Mailserver
bekomme ich keinerlei Fehlermeldung, nur wenn ich CloudDrive verwende.

 

[Fusion]

Als erstes ist immer zu prüfen was unter Systemsteuerung > Sicherheit > Zertifikat unter dem Knopf "Konfigurieren" so eingestellt ist, welches Zeritifkat für welchen Dienst seine Arbeit erledigt.
Wenn du die LE-Funktionen des DSM diesbezüglich benutzt ist es kein selbst erstelltes Zertifikat. Du hast nur den Vorgang selber angestoßen.
Selbst erstellt heißt normal, dass man sich wirklich von Hand ein crt erstellt, das von keiner offiziellen CA unterschrieben/beglaubigt ist. Damit lassen sich auch verschlüsselte Verbindungen aufbauen, aber eben immer mit Warnmeldungen verbunden.

Im Falle von Lets Encrypt ist es denke ich speziell noch ein Fehler in (wenigen) Synology Smart/Desktop Apps, dass der Routine-Wechsel auf das nächste Zertifikat mit neuer Laufzeit so eine Meldung verursacht / verursachen kann.
Ist natürlich extrem kontra-produktiv, weil es die Benutzer abstumpft und sie im Fall der Fälle dann ignorieren, falls wirklich mal was sein sollte mit untergeschobenen Zertifikaten / MITM Attacken etc.

 

[Frogman]

...dass man sich wirklich von Hand ein crt erstellt, das von keiner offiziellen CA unterschrieben/beglaubigt ist. Damit lassen sich auch verschlüsselte Verbindungen aufbauen, aber eben immer mit Warnmeldungen verbunden.

Eine etwas unglückliche Pauschalisierung, die so nicht stimmt. Eine Vertrauenswarnung kommt vom Browser dann, wenn die im Zertifikat hinterlegte Domainangabe/IP nicht mit derjenigen im Aufruf übereinstimmt.
Erstelle ich mir eine lokale eigene CA sowie damit ein Zertifikat für die DS und rufe dann lokal die DS damit auf, gibt's keine Warnmeldung.

 

[frankyst72]

selbst erstelltes SSL-Zertifikat der Firma Let`s Encrypt.

wir reden in dem Fall nicht von "selbst erstellten" Zertifikaten. Das Zertifikat von Let's Encrypt ist ein von einer öffentlichen CA ausgestelltes Zertifikat. Ein selbst erstelltes, ist ein Zertifikat was die DS selbst lokal erzeugt hat und keine öffentliche Gültigkeit hat, bzw. die Gültigkeit nicht geprüft werden kann.

Ich will das nur klar stellen, weil es sonst leicht zu Verwechslungen und Missverständnissen kommt. Da ich selbst kein Experte bin, habe ich in der Formulierung oben vermutlich auch Fehler gemacht. Aber so ungefähr, man möge mir das nachsehen.

 

[Frogman]

Das ist weitestgehend alles richtig
Es sind nur Feinheiten... bspw. muss ein selbsterstelltes Zertifikat nicht auf der DS erstellt werden, sondern das kann (und sollte im Idealfall auch) auf einem anderen (am besten nicht vernetzten) Rechner passieren. Und der Begriff 'öffentliche CA' könnte etwas verwirren - es gibt auch öffentliche CA, die dennoch nicht im Browser als vertrauenswürdig gemeldet werden. Entscheidend dabei ist immer, ob die entsprechende Applikations (d.h. bspw. der Browser) bzw. das Betriebssystem des Clients in seinem Signaturspeicher vertrauenswürdiger Stammzertifikate eines hat, auf das die Signaturkette des DS-Zertifikats Bezug nimmt, eventuell auch über ein Zwischenzertifikat.

 

[stefan19773]

Sorry, aber ihr scheint euch in diesem Punkt nicht wirklich einig zu sein,
was mich auch nicht wirklich weiter hilft.
Schaut man sich die Meldung mal genauer an, stellt man fest das
eigentlich nur darauf hingewiesen wird, das das SSL- Zertifakt unsicher
zu sein scheint.

 

[Frogman]

Wenn jemand nicht sicher zu sein scheint, dann Du
Denn die eingangs beschriebene Meldung ist weder eine Fehlermeldung, noch wird darauf hingewiesen, dass das SSL-Zertifikat "unsicher" zu sein scheint.
Es ist eine Warnung über fehlende Vertrauenswürdigkeit, weil es keine Signatur einer als vertrauenswürdig eingestuften CA trägt, wie oben beschrieben. Das kann - muss aber nicht - ein Hinweis sein auf ein selbstgeneriertes Zertifikat oder aber eine Kompromittierung, bspw. mit einem MITM-Angriff (eben das wird im Fenster beschrieben!).

 

[stefan19773]

Ok du hast recht, Asche über mein Haupt... ich hatte mich verschrieben.
Dennoch verstehe ich dieses Fenster als Hinweis und weniger als Fehlermeldung.

 

[toro]

Hallo zusammen,
ich habe eine 916+ und habe alle Schritte befolgt. Das neue Zertifikat ist für die Cloud Station auch aktiviert. Beim Setup der Cloud Station auf meinem Mac kommt jedoch immer noch die eingangs beschriebene Fehlermeldung. Ich habe bei der Erstellung des Zertifikats vergessen, dieses als Standardzertifikat zu verwenden - wo kann ich das nachholen?
Dem Zertifikat habe ich über die Schritte im Browser vertraut und diese Einstellung abgespeichert.
Was habe ich vergessen?

Vielen Dank für Eure Hilfe im Voraus


tom

 

[stefan19773]

Dies kannst du unter Systemsteuerung/Sicherheit/Zertifikat nach holen.
Auch bei mir ist es als Standart hinterlegt und in den Eigenschaften
ist die CloudStation auf geführt, trotzdem bekomm ich diese Meldung.
Bin mal gespannt was bei dir passiert...

 

[toro]

Hallo Stefan,
danke für den Hinweis mit der Festlegung des Standardzertifikats. Das hat funktioniert.
Das Problem mit der SSL Verschlüsselung besteht allerdings noch immer.
Hat keiner eine Idee?

Viele Grüße


tom

 

[Panzerknacker]

Gleiches Problem bei mir. Die Antwort vom Synology Support war dass ich mir mit Let's Encrypt ein Zertifikat erstellen soll.
Habe ich gemacht, ist auch eingetragen - leider immer noch ein Problem dass ich Drive auf dem Smartphone nicht nutzen kann, weil es nach der Fehlermeldung abbricht.
Mit DS-Cloud funktioniert der Zugriff komischerweise...

 

[Jrlohni]

Hallo Forumsgemeinde...

ich kämpfe mich auch schon seit längerem mit dem Problem des LE Zertifikats rum... Die hier besprochene Fehlermeldung stört mich gar nicht... Bei mir stellt nur der Cloudstation Drive nach einiger Zeit immer den Dienst ein... Anbei ein Screenshot des Fehlers. Hat dort jemand Abhilfe?

LG Johannes