DSM 7.0 Warnung: Mögliches Sicherheitsrisiko erkannt

[cybrary]

Hi,
aktuell habe ich Probleme mich mit meiner Diskstation im lokalen Netzwerk zu verbinden. Nach Eingabe der internen IP-Adresse im Firefox bekomme ich die folgende Fehlermeldung

Auf meiner DS418 ist DSM 7.0-41890 installiert und folgende Zertifikate

Wenn ich quickconnect im lokalen Netzwerk nutze, gibt es keine Fehlermeldung, es wird aber nicht auf die lokale IP-Adresse umgeschaltet. Der Zugriff erfolgt über
https://192-168-0-44.xxx.direct.quickconnect.to:5003/

Wie kann ich diese Fehlermeldung abstellen?

cybrary

 

[andisds]

Das Problem kommt daher zustande, da dein Zertifikat für eine Domain ausgestellt und nicht für eine IP. Abstellen kannst du es, indem du auf Erweitert... klickst und "Risiko akzeptieren und fortfahren" anklickst. Es müsste, glaube ich, auch irgendwo etwas stehen in der von Art: In Zukunft nicht mehr danach fragen.

https://support.mozilla.org/de/kb/fehlermeldung-sec_error_unknown_issuer

Das der Zugriff über https://192-168-0-44.xxx.direct.quickconnect.to:5003/ klappt... dürfte an dem Wildcard-Zertifikat, also dem *. in dem alternativen Betreff deines Zertifikates liegen.

 

[cybrary]

Danke für die Antwort. Ich weiß, dass man das bei Firefox umgehen kann.
Das löst aber nicht mein Problem. Andere Services wie OpenVPN und DS Chat haben auch Probleme mit dem vorhanden Zertifikat.
Die Frage ist, wie kann ich das Zertifikat wieder auf vertrauenswürdig bekommen?

 

[Mahoessen]

Das löst aber nicht mein Problem

@cybrary : es ist kein Problem, s. #2. für lokale IP-Adressen gibt es keine Zertifikate.

 

[andisds]

Umgehen tust es über die Eingabe der Domain, statt der IP

 

[Benares]

Genau, in der URL muss einer der unter "Betreff Alternativer Name" genannten Namen verwendet werden. Dieser muss natürlich auch auf die richtige IP auflösen (nslookup ...).

 

[cybrary]

Hi Benares,
wenn ich nslookup IP-Adresse für meine Diskstation machen ist das Ergebnis
PoppiStation.fritz.box
Nehme ich diesen Namen und schreibe das als URL in Firefox
https://PoppiStation.fritz.box:5003
erhalte ich wieder die Fehlermeldung: Warnung: Mögliches Sicherheitsrisiko erkannt
Was mache ich falsch?

 

[Benares]

Du darfst nicht nach der Rückwärtsauflösung schauen (also nicht "nslookup <IP>").
Die Vorwärtsauflösung ("nslookup <Name>") mit einem der Namen aus deinem Zertifikat muss die richtige IP liefern, normalweise die aktuelle, externe IP deines Routers.

Edit: Seh grad, hast ja Quickconnect. Da kenne ich mich nicht aus. Da könnte es sein, dass die Namen auf irgendwelche Synology-Server zeigen.

 

[cybrary]

Ich meine, das synology Zertifikat ist nicht gültig.

Unter Details findet man folgende Infos


Kann jemand damit etwas anfangen?

 

[Benares]

Das scheint ein selbstsigniertes Zertifikat zu sein, das nur für den Namen "synology" als Host (Alternativer Antragstellername) gilt.
Solche Zertifikate musst du selbst auf jedem Gerät als "vertrauenswürdig" einstufen, indem du es speicherst und dann in den Bereich der "Vertrauenswürdigen Stammzertifizierungsstellen" importierst (s. certmgr.msc)

 

[DeepNAS]

Zum ersten Post:
Wenn du dich mit Hilfe von Quick Connect verbindest verwendet dein NAS das im Bild untere Zertifikat. Dieses wird vom NAS automatisch erstellt und auch automatisch von Let's Encrypt als "vertauenswürdig" unterschrieben. Wenn du dich dann mit deiner Quicconnect-ID mit dem NAS verbindest, "zeigt" dein NAS das von LE unterschriebene Zertifikat vor, dein Browser prüft das dann, ob es von einer CA auf seiner Liste der vertrauenswürdigen CA's unterschrieben ist und wenn alles passt, dann verbindest du dich ohne Fehlermeldung.

Versuchst du dich mit der lokalen IP des NAs zu verbinden, dann verwendet das NAS das im Bild obere Zertifikat "synology" (unter FÜR: stehen die Anwendungen bei welchen das Zertifikat verwendet wird, u.a. steht da Standard).
Dieses "synology" zertifikat ist aber nur ein standarmäßig angelegtes Zertifikat (damit man überhaupt z.B. eine https Verbindung nutzen kann) ohne Unterzeichnung durch eine CA. Sprich es ist ein selbstsigniertes Zertifikat. Und das löst immer eine entsprechende Fehlermeldung aus (zum einen, da es nicht überprüft werden kann, zum anderen weil es auf den DNS-Namen "synology" ausgestellt ist und der nicht gleich deiner lokalen IP ist).

Wenn du mit einem lokalen Namen und/oder einer lokalen IP eine https Verbindung aufmachen willst, ohne das der Browser meckert musst du dir noch ein Zertifikat selbst bauen (mit entsprechenden Namen und/oder IP im Feld Subject Alternative Name / Alternativer Antragstellernahme und es selbst "unterschreiben". Zusätzlich musst du dann den Key mit dem du es unterschrieben hast noch im Betriebssystem als Vertrauenswürdige Zertifizierungsstelle importieren.

es ist kein Problem, s. #2. für lokale IP-Adressen gibt es keine Zertifikate.

Doch geht grundsätzlich auch:
https://www.synology-forum.de/threads/selbsterstellte-zertifikate-erneuern-dsm7.115599/post-960636

Nehme ich diesen Namen und schreibe das als URL in Firefox
https://PoppiStation.fritz.box:5003
erhalte ich wieder die Fehlermeldung: Warnung: Mögliches Sicherheitsrisiko erkannt

a) der Names "PoppiStation.fritz.box" ist ungleich "synology" (für den das Zertifikat ausgestellt ist)
und
b) das Zertifikat ist nicht von einer im Browser/Betriebssystem als "vertrauenswürdige" bekannte Stelle unterschrieben

Ergo muss die Fehlermeldung kommen. Es ist also alles richtig.

 

[ruby]

Sehr gute Erklärung, vielen Dank!