Welches standard Zertifikat? Exportierbar?

Status
Für weitere Antworten geschlossen.

tanka

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Hi Leute,
ich habe gelesen, dass man sich am besten ein eigenes Zertifikat erstellt (http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats), um wirklich "sichere" Verbindungen zu haben. Nun wird doch bei der DSM standardmäßig schon ein Zertifikat verwendet. Zumindest gehe ich davon aus, da ich noch nie selbst eines erzeugt habe und mein Browser beim ersten Seitenaufruf nörgelt.

1. Kann man dieses Standardzertifikat exportieren, um es z.b. bei einem Android Gerät einzubinden (vgl. http://davdroid.bitfire.at/faq/entry/importing-a-certificate ).
2. Kann man sich den ganzen kostenpflichtigen CA-Mist nicht sparen, wenn man sein Zertifikat auf dem USB-Stick mit herumträgt?

Grüße,
Tanka
 

Fozzybaer

Benutzer
Mitglied seit
08. Jan 2011
Beiträge
146
Punkte für Reaktionen
0
Punkte
0
Dieser kostenpflichtige "Mist", wie du es nennst, hat seine Daseinsberechtigung. Aber fangen wir mal bei Adam und Eva an. ;)
Zertifikate sind dazu da a) den Betreiber einer Seite oder Absender einer E-Mail als "vertrauenswürdig" oder nicht vertrauenswürdig zu klassifizieren. b) Eine Transportverschlüsselung der Daten zu gewährleisten. Bei öffentlichen CA's (die nicht unbedingt kostenpflichtig sein müssen) gibt es mehrere Stufen. In der einfachsten wird nur mittels E-Mail Bestätigung geprüft, ob der "Antragsteller" auch der Inhaber dieser E-Mail / Domain ist. Diese Zertifikate sind oft kostenlos zu bekommen.
In der 2 ten Stufe wird darüber hinaus, z.B. mittels Post Ident Verfahren, geprüft ob es sich bei dem Antragsteller auch um die reale Person handelt die er/sie vorgibt zu sein. Diese Zertifikate sind meist Kostenpflichtig.
Bis zu dieser Stelle haben diese beiden Zertifikate vor selbst generierten genau 1, respektive 2 Vorteile (Class 2 Cert)
1) Die ausstellende Institution ist bei den meisten Browsern als Vertrauenswürdig eingestuft und somit "meckert" der Browser beim Aufrufen der Seite nicht.
2) Im Falle eines Class 2 Zertifikats kann man auch sicher sein, dass die Person auch die ist, welche sie vorgibt zu sein.

So nun zu den selbst ausgestellten Zertifikaten. Diese werden eben nicht von einer als Vertrauenswürdig eingestuften Partei ausgestellt. Somit meckert JEDER Browser JEDES mal beim Aufruf der Webpage, es sei den man fügt eine Ausnahme zu. Das mag im Freundeskreis noch praktikabel sein, bei einer öffentlichen Webseite ist es das nicht.

So es ist spät und wer orthografische Fehler findet darf sie gern behalten ;)

An sonsten sind wir für weiter führende Meldungen stets offen. @Dill88? Your 2 Cents? ;)
 

snakemax

Benutzer
Mitglied seit
03. Jan 2012
Beiträge
122
Punkte für Reaktionen
0
Punkte
22
@Fozzybaer

So nun zu den selbst ausgestellten Zertifikaten. Diese werden eben nicht von einer als Vertrauenswürdig eingestuften Partei ausgestellt. Somit meckert JEDER Browser JEDES mal beim Aufruf der Webpage, es sei den man fügt eine Ausnahme zu. Das mag im Freundeskreis noch praktikabel sein, bei einer öffentlichen Webseite ist es das nicht.

Da muß ich Dir recht geben. Ich habe im Moment das gleiche Problem mit nur einem freigegebenem Link. Alle iPhone User mit iOS 7 können
den Link nicht öffnen, bei den iOS 6 gibt es kein Problem. Ich suche jetzt eigentlich eine Möglichkeit, den freigegebenen Usern, gleich mein
selbsterstelltes Zertifikat mitzuschicken. Beziehungsweise einen Downloadhinweis auf das Zertifikat.

Gibt es hierfür eine Möglichkeit?


Gruß Max
 

Fozzybaer

Benutzer
Mitglied seit
08. Jan 2011
Beiträge
146
Punkte für Reaktionen
0
Punkte
0
Da muß ich Dir recht geben. Ich habe im Moment das gleiche Problem mit nur einem freigegebenem Link. Alle iPhone User mit iOS 7 können
den Link nicht öffnen, bei den iOS 6 gibt es kein Problem. Ich suche jetzt eigentlich eine Möglichkeit, den freigegebenen Usern, gleich mein
selbsterstelltes Zertifikat mitzuschicken. Beziehungsweise einen Downloadhinweis auf das Zertifikat.

Gibt es hierfür eine Möglichkeit?


Gruß Max

Sprechen wir über ein Zertifikat für eine Website, oder S/MIME?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.685
Punkte für Reaktionen
2.086
Punkte
829
An sonsten sind wir für weiter führende Meldungen stets offen. @Dill88? Your 2 Cents? ;)

Hahaha, den habe ich jetzt erst gesehen. Wie bei Deinen Beiträgen üblich, habe ich eigentlich nichts hinzuzufügen. Das einzige, was mir zu dem Thema generell einfällt, ist meine Frustration darüber, dass sich durch die unsäglichen NSA-Aktivitäten im Bezug auf die zentrale CA-Organisation erneut die Frage stellt, ob nicht doch das alte "Web of Trust" weiterverfolgt werden müsste. Bei Verisign werde ich jedenfalls nie wieder ein Zertifikat ordern - und das jetzt ganz unabhängig vom Preis.
 
Mitglied seit
10. Jan 2014
Beiträge
393
Punkte für Reaktionen
0
Punkte
0

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.685
Punkte für Reaktionen
2.086
Punkte
829
Danke, AT, you made my day. *LOL*
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
..., ist meine Frustration darüber, dass sich durch die unsäglichen NSA-Aktivitäten im Bezug auf die zentrale CA-Organisation erneut die Frage stellt, ob nicht doch das alte "Web of Trust" weiterverfolgt werden müsste. ....
Die gleiche Zielstellung sehe ich auch - nach all den Erfahrung der letzten Monate kann nur der Schluss gezogen werden, dass alle hierarchisch strukturierten Konzepte, ob nun hoheitlich verankert oder nur von privaten Institutionen, keine verläßliche Vertrauensbasis mehr bilden können. Vertreter des alten WOT wie bspw. PGP mögen etwas angestaubt wirken, doch bieten nur sie aktuell den besten Schutzlevel. Und weitergehende Konzepte, die gewissen Hürden bei der Handhabung überwinden (übrigens in der aktuellen c't mal knapp, aber gut angerissen), sind durchaus vorhanden, auch von altbekannten Haudegen der Szene unterstützt und gefördert.
 

tanka

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Also danke für die zahlreichen Antworten. Leider ist meine ursprüngliche Frage nicht beantwortet. Ich formuliere es nochmal anders:
1) Welchen Vorteil bringt es, sich anstatt dem Standard-Zertifikat(von Synology) ein eigenes (mittels openssl x509/genrsa/...) zu generieren?
2) Wie kann man das Standard-Zertifikat exportieren?

Grüße
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
1) Sicherheitstechnisch keinen, nur bei der Handbhabung bei einer eigenen Domain (kein Wegklicken der Warnung im Browser) - hat aber Fozzybaer bereits in #2 ausgeführt
2) Über die GUI gar nicht - man kann sich die certs nur per Hand aus den Ordnern kopieren (aus der DS oder direkt aus einem DSM-Installationsfile)
 

Fozzybaer

Benutzer
Mitglied seit
08. Jan 2011
Beiträge
146
Punkte für Reaktionen
0
Punkte
0
Wie Frogman schon sagte ist Sicherheitstechnisch kein Vorteil zu sehen. Deine Website liefert "nur" das Zertifikat. Der asymmetrische Schlüssel wird erst beim Aufruf der Seite am client generiert, oder ein gemeinsamer symmetrischer Schlüssel sitzungsbasiert ausgehandelt.
Du darfst nicht vergessen, es handelt sich hier "nur" um eine Transportverschlüsselung der Daten. Sowohl auf dem Server, als auch auf dem Client sind die Daten in Klarschrift einsehbar. Anders bei Email Zertifikaten und der Generierung eines privaten Schlüssels zum entschlüsseln. Aber das führt zu weit ;)
 

snakemax

Benutzer
Mitglied seit
03. Jan 2012
Beiträge
122
Punkte für Reaktionen
0
Punkte
22
@Ameisentaetowierer

"Man kann sein eigenes öffentliches CA-Zertifikat irgendwo (Dropbox, etc) hinterlegen und Freunden den Link zum Downloaden und Installieren schicken.
Ansonsten hilft nur ein echtes Zertifikat."

So habe ich es auch gelöst.

Danke für die vielen Informationen,

Gruß Max
 

tanka

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Du darfst nicht vergessen, es handelt sich hier "nur" um eine Transportverschlüsselung der Daten. Sowohl auf dem Server, als auch auf dem Client sind die Daten in Klarschrift einsehbar.

In dem Moment wo Client (mein PC mit Browser) und Server (meine DS zu Hause am Router) in meinem Besitz sind, ist doch eine Transportverschlüsselung ausreichend, oder?

Die Geschichte mit Public und Private Key hab ich schonmal verstanden gehabt. Wo kann ich denn das ganze verständlich nachschauen/nachlesen?

MFG
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wenn sowohl Client als auch Server in Deinem Besitz sind und die beiden im LAN miteinander reden, stellt sich die Frage, ob Du überhaupt verschlüsseln willst - wenn nicht gerade andere User mit in Deinem LAN aktiv sind, die Dir Böses wollen (was man bei Familienmitgliedern oder ähnlichem ja meist ausschließen kann), ist eine Transportverschlüsselung eigentlich überflüssig. Sie ist ja eher dafür gedacht, wenn die Daten durch Bereiche transportiert werden, die von anderen eingesehen werden können, bspw. zwischen Deinem Homeserver und einem mobilen Client unterwegs.

Details zu PKI-Grundlagen findest Du bspw. hier. Google ist da ein unerschöpflicher Quell.
 

tanka

Benutzer
Mitglied seit
15. Feb 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Sie ist ja eher dafür gedacht, wenn die Daten durch Bereiche transportiert werden, die von anderen eingesehen werden können, bspw. zwischen Deinem Homeserver und einem mobilen Client unterwegs.

Genau das ist ja meistens der Fall. Die DS steht zu Hause und der PC im Internetcafé.

Wie komme ich an das orginal Syno Zertifikat ran? Wo liegt das gespeichert?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Genau das ist ja meistens der Fall. Die DS steht zu Hause und der PC im Internetcafé.
Dann solltest Du oben nicht "mein PC mit Browser" schreiben bzw. davon, dass der Client in Deinem Besitz sei!
 

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Wie komme ich an das orginal Syno Zertifikat ran? Wo liegt das gespeichert?
Schau mal hier: /usr/syno/etc/ssl/

Ansonsten einfach auf der Kiste nach *.crt suchen, damit bekommst Du alle Orte angezeigt, in denen Zertifikate rumfliegen (Oder nur Dateien, die die Dateiendung .CRT haben...)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat