Ok, dann müssen wir etwas differenzieren:
externer Zugriff sollte grundsätzlich verschlüsselt erfolgen. Entweder über SSL-verschlüsselte Ports oder aber auch über einen VPN-Kanal, in dem dann bedenkenlos die normalen unverschlüsselten Ports verwendet werden können. Wichtig ist, entweder die benötigten SSL-verschlüsselten Ports bzw. VPN-Ports im Router weiterzuleiten, am besten per Hand und nicht mit der automatisierten UPnP-Routerkonfiguration. Den DSM-Zugang sollte man in der Regel extern nicht verfügbar machen, weil man ihn eigentlich nicht wirklich braucht. File Station und Co. können über separate Ports erreicht werden.
Der interne Zugriff - nun ja, wenn Du dem LAN vertraust, kann der auch unverschlüsselt erfolgen. Wenn man die Latte hoch legen will, kommuniziert man auch lokal verschlüsselt - damit hat dann bspw. auch Malware, die auf Geräten des LAN eventuell zu finden ist, keine Chance. Schlecht ist es natürlich, wenn der zugreifende Rechner kompromittiert ist - dann hilft die beste Verschlüsselung nichts, da dann der Schädling an der Quelle sitzt und bspw. Passwörter mitschneiden kann.
Allgemein gilt, das eine verschlüsselte Übertragung etwas Performance kostet - aber nicht so viel, dass man hier graue Haare bekommen muss. Ja, Sicherheit kostet immer irgendetwas, Performance oder auch Bequemlichkeit. Doch man sollte sich immer fragen, ob es einem die eigenen Daten nicht wert sein sollten.
Thema Zertifikat:
Die DS bietet ein generisches SSL-Zertifikat. Für eine sichere Übertragung besteht da kein Unterschied zu einem selbst erzeugten/gekauften Zertifkat. Da beim Zugriff aber auf eine geschlossene Signaturkette bis hoch zu einem Root-Zertifikat geprüft wird, meckern Browser und Co. bei einem Synology-Zertifikat bzw. einem beliebigen eigengeneriertes/eigensigniertes Zertifikat (dann ist die Adresszeile häufig auch rot). Wenn man das verhindern möchte, benötigt man - für eine eigene Domain, die man besitzen muss - ein von einer anerkannten CA signiertes Zertifikat. Entweder gegen Geld oder aber von einem der kostenlosen Anbieter (bspw. StartSSL mit ihren Class1-Zertifikaten oder in Kürze auch von Mozilla, die einen kostenlosen Signaturdienst angekündigt haben).