Suche Dateimanagement mit public/private Key System

[Joschie]

irgendwie kommt bei dir immer noch etwas aus DOS, 90er Jahre etc zum Vorschein

Warum soll Lets Encrypt irgedneinen privaten Schlüssel von haben? Und wozu?
Das ist ist für die Transport Verschlüsselung nach SSL/TLS und das ist ganz sicher besser als dein Spiel mit privaten Schlüsseln, die du grosszügig an alle verteilen willst.

Lets Encrypt ist eine CA, also jemand der deine Schlüssel beglaubigt, sonst sind sie ja nur wenig Wert weil denen nicht vertraut wird.

Schon

allein das ist etwas merkwürdig
Du willst ein Public Key Verfahren konstrueiren, aber deinen privaten key verteilen?
Hast du das auch bei PGP so gemacht?

Vertrauen bekommt man nicht geschenkt, sondern muss man sich erarbeiten! Zumindest bei mir.
Mir sind die Prozesse hinter "Lets Encrypt" nicht bekannt. Von daher meine Frage ob Sie meine privaten/öffentlichen Schlüssel vom Zertifikat in die Hände bekommen?

 

[alexhell]

Kannst es hier nachlesen: https://letsencrypt.org/how-it-works/

 

[ottosykora]

Mir sind die Prozesse hinter "Lets Encrypt" nicht bekannt.

dann musst du dir dies erarbeiten
Und du selber bist nicht in der Lage die Vefahren zu prüfen. Da gibt es andere weltweite tätige Organisationen, Staatliche Stellen etc welche die entsprechenden Zulassungen und regelmässige Audits bei den CA machen. Erfüllt die CA einige Ansprüche nicht 100%, wird sie aus dem System gekippt und von den Listen gestrichen oder gar blockiert.

Von daher meine Frage ob Sie meine privaten/öffentlichen Schlüssel vom Zertifikat in die Hände bekommen?

Zertifikat ist eigentlich auch der öffentliche Schlüssel im erweiterten Sinn. Es ist eigentlich die Signatur einer vertrauenswürdigen Agentur auf deinem öffentlichen Schlüssel. Nur so können Betriebssysteme, Browser und andere Software ihre Verschlüsselte Verbindung aufbauen, weil sie wissen, dieser Schlüssel mit Zertifikat gehört zu diesem Gerät oder Anschluss etc..

Deine öffentlichen Schlüssel sind grundsätzlich allen bekannt, darum sind sie öffentlich.
Deinen privaten Schlüssel wirst du nicht so zu Gesicht bekommen, Menschen müssen ja vor sich selber geschützt werden. Sonst würden sie so einen privaten Schlüssel einfach verteilen oder irgendwo frei aufbewahren.


Die einzigen privaten Schlüssel die ich habe sind für Mail Signatur im S/MIME system und einen für die Signatur von bestimmten Transaktionen.

Für die verschlüsselte Verbindung gibt es Mechanismen die alles automatisch machen und von der Welt Wissenschaft als OK betrachtet werden.

 

[Joschie]

Das ist natürlich ein weites Thema, aber meine Frage wurde nicht direkt beantwortet. Sie haben also Zugang zu meinem privaten Schlüssel, wenn ich mir das Zertifikat über Lets Encrypt erstellen lasse?

Aber dafür kann man doch im NAS eigene Zertifikate manuell erstellen?
Mein NAS liegt hinter dem Router mit eingeschaltetem DynDNS. Muss ich die DynDNS Adresse vom Router nehmen?

 

[Adama]

Das sollte deine Frage bezüglich der Private Keys beantworten: https://letsencrypt.org/docs/faq/#d...or-my-certificates-on-let-s-encrypt-s-servers

 

[ottosykora]

Sie haben also Zugang zu meinem privaten Schlüssel, wenn ich mir das Zertifikat über Lets Encrypt erstellen lasse?

nein
das kannst du dir vorstellen wie zu PGP Zeiten die Unterschriften Sammlung an den Pubkeys
Erstellt wird alles lokal

Aber dafür kann man doch im NAS eigene Zertifikate manuell erstellen?

ja klar kann man das, du musst nur wissen, dass diese von den heutigen Betriebssystemen, Browsern und anderer Software so nicht akzeptiert werden.
Du musst die entweder durch eine anerkannte, und in deinem Betriebssystem oder Browser gelistete Certification Authority signieren lassen, oder
Wenn nicht, werden sie als nicht vertrauenswürdig betrachtet und es kommt keine Verbindung zu Stand.
Man kann dies umgehen wenn man weiss was man macht und weiss sicher das hier ist mein eigener Zertifikat, also kann man dann in einem Browser zum Bsp nach Bestätigung einer Warnung diesen Zertifikat als vertrauenswürdig bezeichen. Danach funktioniert dieser in dem betreffende Browser. Die Prozedur muss natürlich bei jedem Gerät befolgt werden.

Mein NAS liegt hinter dem Router mit eingeschaltetem DynDNS. Muss ich die DynDNS Adresse vom Router nehmen?

das ist halt die Adresse welche für den Unterschreiber wichtig ist




versuch doch mal in Browser auf den Schloss bei der Adresszeile zu klicken. Da kannst du sehen wie LE den Server zertifiziert hat

 

[Joschie]

Guten morgen

entschuldigt, dass ich dieses Thema fortsetze.

Habe über Lets Encrypt ein Zertifikat erstellt und meine Domäne bekannt gegeben. Hierzu habe ich weitere Fragen.
1.) Macht es Sinn das Zertifikat mit einem zusätzlichen Passwort zu versehen, z.b. 24 Zeichen lang?
2.) Wenn ich für den File-Server ein eigenes Zertifikat erstelle(Aktuell habe ich dieses Zertifikat für alle Dienste aktiviert), manuell, und nicht bei allen meinen Bekannten installiere und diese Bekannten bei Betreten meines File-Servers die "Gefahren und Risiken akzeptieren" klicken, ist diese Kommunikation dann ebenfalls verschlüsselt?
3.) Das automatisch erstellte Zertifikat über Lets Encrypt läuft immer nur c.a. 3 Monate. Muss ich dort als alle 3 Monate manuell aktualisieren?
4.) Werden die Benutzer meiner Dienste bei Betreten, bei abgelaufenem Zertifikat, hingewiesen auf die Gefahr?

 

[metalworker]

Hallo Joschie ,

hast du dich mal mit dem Thema Zertifikaten beschäftigt?

Und wenn deine User die Meldung bekommen das das Zertifikat nicht Gültig ist , dann hast was in der Einrichtung falsch gemacht.

 

[ottosykora]

Habe über Lets Encrypt ein Zertifikat erstellt und meine Domäne bekannt gegeben.

das ist schon mal gut

1.) Macht es Sinn das Zertifikat mit einem zusätzlichen Passwort zu versehen, z.b. 24 Zeichen lang?

wozu genau soll das gut sein und wer soll wo und und wann ein Password eingeben?
Die Zertifikate kann man sich vorstellen wie Unterschriften einer CA, hier Letsencrypt, auf deinem Pubkey

2.) Wenn ich für den File-Server ein eigenes Zertifikat erstelle(Aktuell habe ich dieses Zertifikat für alle Dienste aktiviert), manuell, und nicht bei allen meinen Bekannten installiere und diese Bekannten bei Betreten meines File-Servers die "Gefahren und Risiken akzeptieren" klicken, ist diese Kommunikation dann ebenfalls verschlüsselt?

Wenn es ein Zertifikat von LE ist, dann braucht man nichst tun. Die Schlüssel sind automatisch von den Betriebssystemen und Browsern etc als vertrauenswürdig angesehen. Du musst also nichts mehr tun und auch keine Schlüssel auf den Clients installieren oder so was. Das wurde automatisch erledigt.

Wenn du ein eigenes erstellst, dann bist du selber der Zertifizierer. Kein Betriebssystem und kein Browser kennt dich. Dann müssen die Cleints halt die 'Gefahren und..' bestätigen und eine Ausnahme erstellen.
Es wird dann genau so verschlüsselt wie wenn es von einer anerkannten CA unterschrieben wurde.

3.) Das automatisch erstellte Zertifikat über Lets Encrypt läuft immer nur c.a. 3 Monate. Muss ich dort als alle 3 Monate manuell aktualisieren?

ja sicher
Dazu genügt normalerweise dass die Syno via Port 80/443 von aussen erreichbar ist. Dann wird die Unterschrift automatisch erneuert ohne dass du was tun musst.

4.) Werden die Benutzer meiner Dienste bei Betreten, bei abgelaufenem Zertifikat, hingewiesen auf die Gefahr?

ja, abgelaufen Zertifikate werden als nicht gültige betrachtet
früher gab es Zertifikate die 20 Jahre gültig waren, heute werden neue Zertifikate für max 1 Jahr erlaubt.

 

[Joschie]

ja sicher
Dazu genügt normalerweise dass die Syno via Port 80/443 von aussen erreichbar ist. Dann wird die Unterschrift automatisch erneuert ohne dass du was tun musst.

Lassen sich für die Synchronisation andere Ports als 80/443 verwenden?

 

[ottosykora]

Lassen sich für die Synchronisation andere Ports als 80/443 verwenden?

so weit ich weiss nicht

aber das sind ja normale Webserver Ports

 

[alexhell]

Du kannst für die Zertifikate acme.sh nutzen. Wenn dein Provider das unterstützt. Dann brauchst du gar keine Ports öffnen

 

[Joschie]

Danke für die schnelle Info, aber es müsste doch über die Firewall ein TCP/IP-Bereich festzulegen sein, von den zu zertifizierenden Servern?

 

[alexhell]

Nein, wenn es über http läuft dann muss es 80 und 443 sein. Du kannst es nicht ändern

 

[ottosykora]

müsste doch über die Firewall ein TCP/IP-Bereich festzulegen sein, von den zu zertifizierenden Servern?

was du meinst, wäre nur dann möglich wenn du wüsstest welche IP zum Bsp die LE Server haben.
Das sagt LE nicht und abgesehen davon ändert das so was wie dynamisch dauernd

Das sind ja normale Webserver Ports, genau so wie zum Bsp bei diesem Forum hier

 

[Joschie]

Reicht es denn nicht, nur auf meinem Synology DS Firewall die Ports80/443 freizugeben und auf der Fritzbox Firewall nicht freizugeben?

 

[ottosykora]

und wie kommt dann LE auf deine Syno?

LE muss die Möglichkeit haben sich mit deiner Syno zu verbinden um die nötige Aktualisierung der Zetifikate vorzunehmen. LE ruft dazu deinen Anschluss, dort geht es durch deine Fritzbox und wird dort zu der Syno weitergeleitet. Dort ist dann eine Software die auf solche Anrufe lauscht und ist auch in der Lage diese zu beantworten und entsprechende Anweisungen auszuführen.

 

[Joschie]

Ich finde es merkwürdig, dass man Sachen erfindet, die mehr Sicherheit bringen sollen man dafür aber auf nicht sichere Sachen zurückgreifen muss... Ich danke Dir ottosykora für Deine Bemühungen und Erklärungen. Es ist ja nicht Eure Schuld, dass Wir in dieser Überwachungswelt leben.

Grüße

 

[Tommi2day]

Es gibt ja auch noch andere Methoden um ein LE Zertifikat zu bekommen als diese "http challenge" genannte Methode, z.B. die oft genutzte DNS Challenge. Dazu brauchst Du aber eine eigene DNS Domain bei der Du selber TXT Einträge (die Challenge) anlegen kannst. LE fragt diesen Eintrag dann ab und wenn er existiert, weiß LE das Dir die Domain gehört und es ein Zertifikat dafür ausstellen kann. Leider unterstützt Synology das nicht nativ, aber mit einem Docker Container "acme.sh" kann man das automatisieren, incl Update der Synology selbst. Dazu gibt es hier auch mehrere Threads. Bei der Auswahl des DNS Providers solltest Du auf die Liste der von acme.sh unterstützten Provider achten, sonst musst Du den TXT Eintrag wirklich beim DNS Provider von Hand eintippen

 

[alexhell]

Auf welche unsichere Sachen musst du den zurückgreifen? Deine Domain muss nunmal von außen erreichbar sein, wenn du über HTTP Challenge ein SSL Zertifikat bei LE beantragst. Wie sollen die es sonst machen? Vor allem sollen sie jedesmal allen Interessenten alle IPs mitteilen? Die sich vielleicht täglich ändern? Das ist doch blödsinn und bringt 0 der Sicherheit.
Du kannst über acme.sh dir ein Zertifikat holen, ohne Ports öffnen zu müssen. Aber dein Provider muss unterstützt werden. Und sorry, aber du solltest dich wirklich mal mit dem aktuellen Stand in der IT befassen, bevor du sowas schreibst wie unsicher alles ist.

Edit: @Tommi2day war schneller