Webanwendungen - Diese Verbindung ist nicht verschlüsselt..

[bernd_]

Hallo Forum,

Ich erhalte bei zum Beispiel auf Drupal, Joomla usw Webzugriff auf die Diskstation den Hinweis "Diese Verbindung ist nicht verschlüsselt.."
Ich greife via dyndnsname/drupal/user/login#overlay=admin aus dem Internet darauf zu.

Zugriff erhalte ich auch über https://dyndnsname/drupal/user/login#overlay=admin
dort jedoch nur wenn ich eine Ausnahme hinzufüge..

Das kann ja nicht Sinn der Sache sein?
Wie kann ich https Zugriff bzw dauerhafte Umleitung über https einstellen bzw konfigurieren?

Thx for Info!

 

[Fusion]

Der Hinweis kommt in den neueren Browser Versionen, unverschlüsselt war die Verbindung per http schon immer.

Du kannst dir z.B. für dein dynDNSname ein Lets Encrypt Zertifikat holen unter Systemsteuerung > Sicherheit > Zertifikate und danach dort unter "Konfigurieren" bestimmen Diensten zuweisen.

Eine http > https kann man an verschiedenen Stellen einstellen.
Für den DSM unter Systemsteuerung > Netzwerk > DSM Einstellungen.
Ebenso kann man dort genauso wie in vHosts in der Web Station und bei Reverse Proxies / Anwenungen ( Systemsteuerung > Anwendungsportal) die HSTS Optionen setzen.
Falls dies für den jeweiligen Zweck nicht in Frage kommt bleibt noch der Weg via .htaccess oder nginx Direktive, je nach gewähltem Web Server Backend wo man die Umleitung auf https festlegt.

 

[bernd_]

Ja, früher war da meine ich keine Meldung..

Bei "dyndnsname" und Systemsteuerung > Sicherheit > Zertifikate und danach dort unter "Konfigurieren"
.. finde ich aber keine Möglichkeit joomla etc hinzuzufügen, es ist dort zum Bsp Python, php, perl etc nur aufgelistet..

Ich habe gerade mal nachgeschaut.. ich habe da zwei Zertifikate, eines davon mit dem Namen den ich auch zum connect via dyndns nutze.. (default certificate)..
dieses läuft allerdings im November ab..
Dann eben noch ein zweites.. welches noch länger läuft..dieses hat aber den Namen "synology.com"
Kann ich dieses löschen und das mit dem dyndns name über "csr", "Zertifkat erneuern", "dyndnsname" auswählen.. erneuern?

Verstehe ich das richtig dass ein Zertifikat in diesem Falle dafür da ist https möglich zu machen und den Datenverkehr zwischen client und Diskstation - Anwendung zu verschlüsseln?.
Hat aber nichts mit Authentifizierung zu tun?

Hier sehe ich aber auch ein Zertifkat mit dem Namen "synology"?:

https://www.synology.com/de-de/know...tificate_signing_request_on_your_Synology_NAS

 

[NSFH]

au weia, vielleicht solltest du dir mal basics anlesen was und wofür Zertifikate da sind.
Kurz gesagt, dein Problem lässt sich nur damit lösen.
Vielleicht hilft dir das Video schon mal weiter, das ist nämlich der einfachste und meist genutzte Weg zu einem gültigen Cert.
https://www.youtube.com/watch?time_continue=4&v=Nqze7opPt3I
Hier im Forum findest du auch reichlich Beiträge zu diesem Thema/Problemen bei Installation des Cert. Einfach die SuFu benutzen.

 

[bernd_]

Thx! Das Video habe ich mir angesehen, das bisherige "dydnsname" Zertifkat ist ein Letsencrypt Zertifikat.
Ich habe es jetzt versucht zu verlängern.. und erhalte archive.zip Datei mit den Schlüsseln zum download.
Was ist hier weiter zu tun, das Zertifikat steht immer noch auf Ablauf ...

Unter dem "dyndsname" Zertifikat stehen diverse Anwendungen .. Python etc.. aber nicht zum Bsp Joomla und Drupal, wie kann ich hier noch weitere hinzufügen?

Im Link:
https://www.synology.com/de-de/know...tificate_signing_request_on_your_Synology_NAS
war eben die Rede von "Netzwerkkommunikation sichern" daher dachte ich damit sei "nur" der Datentransport gemeint.

Korrekterweise ist es wohl aber so dass sowohl der Datenverkehr als auch die Identität der Webseite gesichert ist:

https://www.com-magazin.de/praxis/s...age=1_13-fragen-und-antworten-zu-zertifikaten
Ein digitales Zertifikat entspricht einer schriftlichen Beglaubigung: Das Zertifikat bestätigt, dass die Identität einer Person oder eines Unternehmens durch eine Kontrollinstanz überprüft wurde.

Das Zertifikat belegt, um beim Bank - Beispiel zu bleiben, dass es sich wirklich um die echte Webseite der Bank handelt. Außerdem wird das Zertifikat benötigt, um die Datenverbindung zwischen den Servern der Bank und Ihrem PC abzusichern.

 

[Fusion]

Das Zeritifkat verlängert sich automatisch.
Nur falls das Fehlschlägt, weil Port 80 nicht offen war, kann man es auf der Konsole probieren. In der GUI kann man nur ein neues beantragen und das bisherige ersetzen. Da bekommt man auch nix zum Download, da bist du irgendwo falsch abgebogen bzw hast etwas anderes gemacht.
Ist es Orange, oder schon abgelaufen?

Die Dienste die dort im DSM in der Liste zu konfigurieren sind, sind begrenzt auf syno eigene bzw über syno-Einstellungen (Anwendungsportal-Anwendungen/Reverse proxies oder Web Station vHosts) automatisch hinzugefügte.
Alle anderen kannst du hier nicht Konfigurieren/Verwalten.

Bei Zertifikaten gibt es verschiedene Ausprägungen.
Bei den Class-1 Zertifikaten, wie z.B. Lets Encrypt wird nur bestätigt, dass derjenige der den Server betreibt sich für einen Namen unter dem dieser Server erreichbar ist ein Zertifikat auf diesen Namen geholt hat. Mehr nicht.
Erst bei Class-2 und darüber werden auch Personen/Organisationsdaten überprüft.
Der Datenverkehr wird bei allen verschlüsselt.

 

[bernd_]

.. ist noch Orange, warte ich also einfach und hoffe dass es dann vor Ablauf automatisch erneuert wird...

ok, also muss ich einfach damit leben dass ich im Browser unterhalb des dyndnsnamen "verbindung ist nicht sicher" beim Aufruf bestimmter Seiten erhalte..

Nein, es war bei click auf "CSR", dort gibt es aber den Punkt Zertifikat erneuern, dann habe ich zuerst das zertifikat mit dem dyndnsname ausgewählt also das von Let's Encrypt,
dann Deutschland ausgewählt und nach "weiter" wurde der entsprechende Download angeboten?

 

[Fusion]

Ja, ein CSR, ein Certificate Signing Request, ist klassisch für die Beantragung eines Zertifikats bei einem Dienstleister.

Mit Lets Encrypt kam letzt aber nun sozusagen das Selbstbediener-Buffet hinzu.

Das findet sich weiter unten auf der oben verlinkten Hilfe Seite.
Das geht via "Hinzufügen", dann neu, oder ersetzen und dann weiter. Außer dem Domainnamen, email und eventuell alternativer/weitere Namen im Zertifikat sind dort keine Angaben nötig.
Das Zertifikat ist wie gesagt alle 3 Monate zur Erneuerung vorgesehen (bei geöffnetem Port 80). Zwischen Tag 60 und 90 ist das Zertifikat orange und die DS probiert die Aktualisierung.
Am besten ist natürlich wie seither auch der Betrieb mit eigenen Domains, wie mit den "klassischen" Zertifikaten auch.
Für eine dynDNS bleibt allerdings nur Lets Encrypt bis jetzt.
Teilweise gibt es da allerdings Störungen mit sehr beliebten dynDNS Diensten wie Selfhost wo man dann (obwohl ich dachte die Tages-Raten an neuen Zertifikaten für Domains dieser Dienste würden größtenteils der Vergangenheit angehören) teilweise tagelang keine Zertifikate ausgestellt bekommt von LE.
Da hilft es auf einen anderen dynDNS zu wechseln oder weniger oft genutzte Domains beim gleichen Anbieter (selfhost.eu halt selfhost.xyz oder was anderes) zu wählen.

Für Joomla etc. die nicht mit syno-eigenen Diensten verwaltet werden heißt das nicht, dass man auf Zeritifkate verzichten muss, aber es ist halt Einarbeitung und Webserver config nötig wie eh und je.
Ein Mittelweg ist hier z.B. Joomla selbst zu installieren und dies mit einem vHost in der Web Station zu betreiben. Dann kann man auch die Syno Zertifikats-Verwaltung nutzen.

 

[bernd_]

Herzlichen Dank für die vielen Tips und "Input"..:>))
Kann ich denn das zweite Zertifikat ("Synology"), herausgegeben von Synology löschen?
Wird dieses initial angelegt?
Welchen Zweck hat dieses?

 

[Fusion]

Das Zertifikat ist einfach ein Selbst-Signiertes, wie du es dir auch selber erstellen kannst (Browser Warnung, weil nicht von offiziellen Stellen (CAs) "beglaubigt").
So hat halt Synology die DS mit einem "Werkszertifikat" ausgestattet.
Kann man löschen, stört aber auch nicht wirklich weiter, wenn man das nicht tut.