Verständnisfrage - NAS lokal und Zertifikate

[sir_bu]

Hallo Community!

Ich verwende derzeit ein DS420+, bei der Einrichtung durch den Assistenten, habe ich bewusst den Teil "Quickconnect" übersprungen. Ich möchte aktuell mein NAS weder über Quickconnect noch über sonst irgendwelche Freigaben extern verwenden oder erreichbar machen, sondern ausschließlich im eigenen Lan verwenden und das soll auch vorerst so bleiben.

Frage: Benötige ich dennoch ein Let's Encrypt Zertifikat, da die lokale IP über https im Browser ja immer als unsicher angezeigt wird, oder kann ich das einfach ignorieren da ich ausschließlich zwischen PC und NAS im Lan den Datenaustausch durchführe?

Oder würdet ihr sogar die Einrichtung von Quickconnect empfehlen, damit auch in diesem Zusammenhang die Einrichtung des Zertifikats abgeschlossen wird und man dann den Dienst im System wieder deaktiviert?

Danke und VG!

 

[Benares]

Zertifikate haben erstmal überhaupt nichts mit Quickconnect zu tun. Die werden bei jedem Web-Server immer dann gebraucht, wenn darauf per https zugegriffen und auch bewiesen werden soll, dass der Web-Server auch wirklich der ist, für den er sich in seiner URL ausgibt.

Schau dir beispielsweise mal das Zertifikat hier vom Forum an. Da wirst du feststellen, dass es für "www.synology-forum.de" ausgestellt wurde und gültig ist. Das stellt sicher, dass du nicht auf einem Fake-Server gelandet bist.

 

[alexhell]

Wenn du es nur lokal verwendest, dann brauchst du kein Zertifikat. Würde auch nicht gehen, weil du kannst kein Zertifikat für eine IP erstellen lassen.
Ich persönlich würde QuickConnect immer deaktivieren. Wenn man es doch mal von außen erreichbar machen will, dann würde ich es über einen DynDns Dienst laufen lassen.

 

[Ulfhednir]

Wenn du es nur lokal verwendest, dann brauchst du kein Zertifikat. Würde auch nicht gehen, weil du kannst kein Zertifikat für eine IP erstellen lassen.

Das kann man so auch wieder nicht sagen.

Man kann nämlich sehr wohl für IP-Adressen Zertifikate erstellen. Nur halt nicht (mehr) unter DSM 7.
Wenn man ein selbst signiertes Zertifikat erstellen möchte, kann man das aber immer noch mit OpenSSL.

 

[alexhell]

Ahh ok... Wieder was gelernt. Ich dachte immer nur, dass man Zertifikate für Domains erstellen kann. Aber welchen Sinn macht ein Zertifikat für eine IP? Und wenn man ein selbst signiertes Zertifikat erstellt und nicht im Browser importiert, dann hat man ja weiterhin eine Warnmeldung. Weil eins von Lets Encrypt oder jeder andere Stelle bekommt man ja keins......

 

[sir_bu]

Zertifikate haben erstmal überhaupt nichts mit Quickconnect zu tun. Die werden bei jedem Web-Server immer dann gebraucht, wenn darauf per https zugegriffen und auch bewiesen werden soll, dass der Web-Server auch wirklich der ist, für den er sich in seiner URL ausgibt.

Schau dir beispielsweise mal das Zertifikat hier vom Forum an. Da wirst du feststellen, dass es für "www.synology-forum.de" ausgestellt wurde und gültig ist. Das stellt sicher, dass du nicht auf einem Fake-Server gelandet bist.

Okay, da ich im eigenen Lan per IP auf das NAS zugreife, würde ich das erstmal ausschließen.

Sollte ich die Umleitung durch die NAS auf https wieder abschalten, oder eher irrelevant?

 

[Benares]

Und wenn man ein selbst signiertes Zertifikat erstellt und nicht im Browser importiert, dann hat man ja weiterhin eine Warnmeldung

Wie gesagt, die Zertifikate, egal ob extern- oder selbstsigniert (und registriert), gelten nur für die darin registrierten Namen (oder IPs). Ausschlaggebend ist das was unter "Alternativer Antragstellername" (eine Liste) steht. Da könnten auch IPs dabei sein, ist aber nicht üblich. Hier mal das von www.tagesschau.de



Rein intern kann man ruhig bei http bleiben. Aber spätestens bei externem Zugriff sollte man https verwenden (und http darauf umleiten)

 

[Ulfhednir]

Aber welchen Sinn macht ein Zertifikat für eine IP?

Ganz einfach: Es macht grundsätzlich einen Unterschied, ob man ein Zertifikat verwendet oder nicht. Ohne Zertifikat kann man die Daten per Man-in-the-middle abgreifen. Im Heimnetz ist die Wahrscheinlichkeit eher gering, dass dies passiert. In größeren Unternehmen, mit sensiblen Daten, kann dies schon eher passieren. Dann ist es natürlich gut, wenn die interne Datenverbindung verschlüsselt ist.

 

[alexhell]

Danke dir für die Erklärung.