Drive en certificaat

[dirklammers]

Hallo allen,

ik blijf tobben met het onderstaande; wellicht weet een van jullie raad voor dit (specifieke ?) geval.

Met dank aan jullie ondersteuning in een eerder topic heb ik Synology Drive geïnstalleerd en werkend gekregen.
Ik ga dit gebruiken zodat een groep vrijwilligers bestanden uit kan wisselen en kan opslaan.
Om het geheel een beetje eigen gezicht te geven heb ik een nieuw domein geregistreerd en nu kunnen alle deelnemers de drive oproepen via www.<domeinnaam>.nl. Dit domein in ingesteld bij het Configuratiescherm / Instellingenportaal / Synology Drive / Aangepast Domein inschakelen. Verder bij Strato - waar het domein is geregistreerd - het A-record aangepast zodat dit nu naar mijn lokale (vaste) IP-adres wijst.
So far, so good.

Hoewel we geen belangrijke data opslaan leek het me leuk toch gebruik te gaan maken van HTTPS. Dat betekent dan dus het installeren van een certificaat (toch ?)
Bij Strato kun je gratis certificaat koppelen aan één domein. Gedaan, en ingesteld dat aanroepen omgeleid moeten worden naar HTTPS.

Tevens in mijn router poort 443 open gezet en laten verwijzen naar het interne IP-adres van de NAS.
In het eerder genoemde Toepassingenportaal voor Synology Drive nog HSTS aangevinkt.

Maar dan lukt het niet om een HTTPS-verbinding te krijgen. Afhankelijk van welke browser ik gebruik komt er een HTTP-verbinding tot stand na de melding dat de verbinding onveilig is, of zelfs helemaal geen verbinding.

Ik ben het spoor kwijt. Wat zie ik over het hoofd of doe ik verkeerd ?

Groet,

Dirk

[Briolet]

Bij HSTS onthoud de browser alleen het eerdere gebruik van https. De eerste keer moet een gebruiker er zelf https voor tikken.

Als je dat certificaat niet als Default ingesteld hebt, moet je het expliciet bij de certificaatinstellingen aan het drve domein linken.

Bij Strato kun je gratis certificaat koppelen aan één domein. Gedaan, en ingesteld dat aanroepen omgeleid moeten worden naar HTTPS.

Geen idee waar je dat doet, maar als dat een truukje van Strato is, moet je daar zijn.

[dirklammers]

Geen idee waar je dat doet, maar als dat een truukje van Strato is, moet je daar zijn.

Dat snap ik, maar wat moet ik nog op de NAS instellen zodat SSL werkt.
Als ik nu vanuit extern de Drive benader krijg ik een onveilige verbinding waarbij HTTPS is doorgestreept en als ik verder op "niet veilig" klik krijg ik het certificaat van Synology te zien.

Uit het feit dat er HTTPS in de regel staat leid ik af dat Strato wel degelijk probeert een HTTPS verbinding op te zetten, maar dat er uiteindelijk toch een HTTP verbinding tot stand komt omdat .... ja waarom eigenlijk. Waarop accepteert de NAS geen HTTPS verbinding ?

Firewall staat goed, portforwarding staat goed. Wat nu dan nog ?

Groet,

Dirk

NB: Als dit blijft mislukken probeer ik nog wel een LE certificaat.

[Briolet]

Uit het feit dat er HTTPS in de regel staat leid ik af dat Strato wel degelijk probeert een HTTPS verbinding op te zetten, …

zoals ik als schreef moet je bij Strato zijn voor hun truukjes. Ik heb geen idee waarom mensen dingen als een certificaat bij een dns provider onderbrengt. Geen idee hoe dat werkt. Bij Hostnet kan dat niet, dus heb ik er ook geen ervaring mee.

[dirklammers]

Het lijkt opgelost. Ik heb het certificaat bij Strato verwijderd. Dat is denk ik alleen te gebruiken als je ook de site daar onderbrengt.
Wel heb ik daar ingesteld dat alle aanroepen naar http omgeleid worden naar https. Bij de eerste aanroep komt de melding de site onveilig is. Dat zal wel zijn omdat de browsers het standaard Synology certificaat niet herkennen 
Als je door de meldingen heen klikt komt er wel een https verbinding tot stand.

Even checken en poort 443 niet meer forwarden en dan komt er inderdaad geen verbinding meer tot stand.
Volgens mij is hiermee wel het bewijs geleverd dat er inderdaad een https connectie komt via poort 443 en dan op basis van het Synology certificaat.

Groet,

Dirk

[Briolet]

Ik heb het certificaat bij Strato verwijderd.

Zo'n certificaat moet ook niet bij de dns provider staan, maar moet je op de eigen nas installeren. Maar als die nu bij Strato staat is hij sowieso onveilig omdat zij dan ook de private key hebben. Dan kan het slotje nog zo groen zijn, maar kan Strato nog steeds meelezen. Of andere partijen vorderen de private key bij Strato waardoor ze zelfs met terugwerkende kracht het verkeer kunnen lezen.

Certificaten behoor je op je eigen systeem te genereren. En dan door een algemeen erkende externe partij laten ondertekenen zodat ze door iedereen geaccepteerd worden.

[ufosyno]

Dat zal wel zijn omdat de browsers het standaard Synology certificaat niet herkennen

Het standaard-certificaat is een self-signed (dus ongecontroleerd) certificaat en daar hebben de browsers eigenlijk allemaal een hekel aan. Je kan heel makkelijk een LE-certificaat op de nas aanvragen wat ook nog automatisch verlengd, en die dan als standaardcertificaat ook aan Drive koppelen.

Dan ben je dat probleem kwijt als te van buitenaf benaderd, als je van binnen hetzelfde netwerk dan drive benaderd, zal je na elke verlenging het nieuwe certificaat even moeten "vertrouwen" omdat certificaten niet op IP-adressen werken.

[dirklammers]

Dank voor de nadere toelichting. Omdat er eigenlijk geen spannend verkeer over de site loopt is een certificaat mijns inziens niet echt noodzakelijk, maar het staat natuurlijk wel wat "professioneler".
Ik lees op het forum zo hier en daar toch wel wat "gedoe" rondom een LE certificaat. Verlengen dat niet goed gaat. e.d. Dus ik aarzel wel wat.

Of valt dat in de praktijk meestal wel mee ?

Dirk

[Briolet]

Let's Encrypt loopt gewoon feilloos, mits je poort 80 open hebt staan. Maar dat is eigenlijk altijd het geval bij een website.