Hallo wir haben zu Hause eine Synology DS laufen. Der Zugang zum Internet erfolgt mittels Fritzbox 7490. Auf dieser ist eine Portweiterleitung zu der Weboberfläche der DS eingerichtet Wenn ich nun von außerhalb auf die DS zugreifen möchte (W10, Kapsersky Total Security, Chrome) erhalte ich ständig die angefügte Meldung. DOrt muss ich dann zweimal auf "I understand..." clicken bevor ich auf das Webportal komme. Ich habe mir heute das Zertifikat von der Fritzbox zu Hause heruntergeladen und auf meinem Laptop installiert. Hat aber nichts gebracht, die Meldung erhlte ich trotzdem noch. Hat jemand Rat?
Oliver schrieb: > Ich habe mir heute das Zertifikat von der Fritzbox zu Hause > heruntergeladen und auf meinem Laptop installiert. Hat aber nichts > gebracht, die Meldung erhlte ich trotzdem noch. Wenig erstaunlich, was hat die Fritzbox mit dem SSL-Zertifikat der Synology zu tun? Der eleganteste Weg wäre, die Synology mit einem vernünftigen Zertifikat für den von aussen genutzten FQDN zu versorgen, sofern sie das unterstützt.
Ein weiter Tipp wäre, Kaspersky und ähnliches Pseudosecurity-Schlangenöl vom Rechner zu verbannen...
> Wenn ich nun von außerhalb auf die DS zugreifen möchte (W10, Kapsersky > Total Security, Chrome) erhalte ich ständig die angefügte Meldung. DOrt > muss ich dann zweimal auf "I understand..." clicken bevor ich auf das > Webportal komme. Du kannst die Meldung ignorieren. Sie bemängelt nur, daß es ein selbstsigniertes Zertifikat ist. Die dahinter stehende Sicherheit hat damit eher nichts zu tun. Vom technischen Aspekt her kann eine eigenes Zertifikat deutlich sicherer sein als ein "vertrauenswürdiges". Dein Kaspersky prüft nur, ob das Zertifikat von einer offiziellen Stelle signiert worden ist. Die Warnung ist in Deinem Fall komplett irrelevant für die Sicherheit. Beispiel: Fall A: Zertifikat selbst erstellt und signiert. Damit bestätigst Du Dir selbst, daß das Zertifikat von Dir ist. Das ist dann das selbstsignierte Zertifikat. Kaspersky sagt: Du bist nicht vertrauenswürdig. Fall B: Zertifikat von einer externen Zertifizierungsstelle signiert. Damit bestätigt ein Dritter, daß Du wirklich Du bist, obwohl er Dich weder kennt noch gesehen hat. Aber dafür will er Geld haben. (Es gibt Ausnahmen, z.B. letsencrypt). Kaspersky sagt: Alles gut, weil das ein Dritter behauptet. Ich verwende auch selbstsignierte Zertifikate für meinen privaten Gebrauch und vertraue mir hier selbst am meisten und wähle deshalb stets Fall A. :) BTW: Dein Kasperl gaukelt Dir eine Sicherheit vor, die er Dir nicht bieten kann. Du brauchst sowas nicht, die betriebssystemeigenen Bordmittel sind vollkommen ausreichend. Wenn Du es sicher haben willst, empfehle ich den Umweg über ein VPN statt den Direktzugriff.
Antwort schrieb: > Ich verwende auch selbstsignierte Zertifikate für meinen privaten > Gebrauch und vertraue mir hier selbst am meisten und wähle deshalb stets > Fall A. Das ist nicht weit genug gedacht, denn niemand hindert den "Bösen Mann in der Mitte", sich selbst ein Zertifikat mit Deinen Informationen auszustellen und sich damit als Du auszugeben. Da Du glaubst, Dir zu vertrauen, vertraust Du somit auch dem nachgemachten Zertifikat. Du müsstest schon eine Kopie Deines Zertifikats (oder einen Hash o.ä. davon) an separater Stelle ablegen/mit Dir herumtragen, um zu verifizieren, daß das Zertifikat, das vorgibt, "Dein" Zertifikat zu sein, auch wirklich "Dein" Zertifikat ist. Machst Du das? Jedes Mal? Da ist ein letsencrypt-Zertifikat erheblich sicherer.
> Das ist nicht weit genug gedacht, denn niemand hindert den "Bösen Mann > in der Mitte", sich selbst ein Zertifikat mit Deinen Informationen > auszustellen und sich damit als Du auszugeben. Da Du glaubst, Dir zu > vertrauen, vertraust Du somit auch dem nachgemachten Zertifikat. Dazu bräuchte er erst mal meine CA, mit dem er sein Zertifikat signieren kann. Meine Gegenstelle prüft das selbstverständlich. > Da ist ein letsencrypt-Zertifikat erheblich sicherer. Nein, ist es nicht - zumindest nicht in meinem Fall. Ich verwende selbstsignierte Zertifikate z.B. für openVPN oder einen eigenen Webserver im nichtöffentlichen Bereich - das meine ich mit "privaten Gebrauch". Da brauche ich niemanden, der mir bestätigt, daß ich ich bin.
Antwort schrieb: > Da brauche ich niemanden, der mir bestätigt, daß ich ich bin. Du hast aber in diesem Fall dem Server und Client das jeweils andere Zertifikat übergeben, damit dieser auch nur diese akzeptiert, oder?
Antwort schrieb: > Dazu bräuchte er erst mal meine CA, mit dem er sein Zertifikat signieren > kann. Meine Gegenstelle prüft das selbstverständlich. > >> Da ist ein letsencrypt-Zertifikat erheblich sicherer. > > Nein, ist es nicht - zumindest nicht in meinem Fall. Ich verwende > selbstsignierte Zertifikate Von einem selbstsignierten Zertifikat spricht man, wenn das Zertifikat sich selbst signiert. Das selbst bezieht sich nicht darauf, das man das alles selbst macht. Wenn du ein eigenes CA nimmst um ein anderes eigenes Zertifikat damit zu signieren, dann ist diese andere eigene Zertifikat nicht selbstsigniert. Siehe dazu auch, da wird das noch einmal erklärt. https://wiki.ubuntuusers.de/CA/#Selbstsignierte-Zertifikate Wenn du erstere Variante nimmst und das CA Zertifikat in den Browser deiner Clientrechner manuell installierst und am besten noch den Fingerprint vergleichst, dann ist gut. Wenn du aber nur selbstsignierte Zertifikate nimmst, dann ist hier ein man in the middle Angriff möglich wenn du das Zertifikat nicht manuell installierst und im Browser einfach absegnest ohne den Fingerprint zu vergleichen.
letsencrypt-Zertifikate sind normalerweise eine gute Lösung, haben aber den Nachteil, dass man damit zu viel über seinen Internetanschluss preis gibt, da man anhand des Zertifikats immer erkannt werden kann. Deswegen sollte man letsencrypt Zertifikate nur auf gehostete Server einsetzen und nicht auf Servern, die über den privaten Internetanschluss laufen. Für letztere sollte man besser ein eigenes Zertifikat erstellen, dass man mit einem eigenen root CA Zertifikat signiert. Das root CA Zertifikat muss man dann lediglich auf seine Clientrechner manuell installieren. Solche CA Zertifikate haben dabei auch den Vorteil, dass man damit alle seine Serverdienste im Heimnetz signieren kann. Also vom Router bis zum Switch bis zum NAS und sonstigen Servern.
Nano schrieb: > haben aber den Nachteil, dass man damit zu viel über seinen > Internetanschluss preis gibt, da man anhand des Zertifikats immer > erkannt werden kann. Was magst Du damit meinen?
Ein Beispiel: https://www.golem.de/news/https-fritzbox-bekommt-let-s-encrypt-support-und-verraet-hostnamen-1712-131705.html Das Problem betrifft alle Serverdienste die von außen erreichbar sind.
Nano schrieb: > Von einem selbstsignierten Zertifikat spricht man, wenn das Zertifikat > sich selbst signiert. > Das selbst bezieht sich nicht darauf, das man das alles selbst macht. > > Wenn du ein eigenes CA nimmst um ein anderes eigenes Zertifikat damit zu > signieren, dann ist diese andere eigene Zertifikat nicht selbstsigniert. Du hast natürlich recht - ich habe mich falsch ausgedrückt. Ich meine mit "selbstsigniert" das "signieren mit einer eigenen, nicht offiziell beglaubigten CA". Daß das der falsche Ausdruck ist habe ich ehrlich gesagt nicht gewußt. Wieder was gelernt.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.