Auteur Topic: HTTPS werkt, maar niet 'veilig'  (gelezen 6383 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

NTC1985

  • Gast
HTTPS werkt, maar niet 'veilig'
« Gepost op: 14 augustus 2017, 21:15:37 »
Beste DS-gebruikers,

Al enige tijd probeer ik de https-verbinding tussen mijn pc en de NAS veilig te krijgen. Ik heb me inmiddels een week ingelezen en van alles geprobeerd, maar ik krijg het simpelweg niet voor elkaar.

Ik heb in eerste instante het zelfondertekende certificaat van Synology gebruikt, maar die werd niet herkend door Chrome. Vervolgens heb ik een certificaat met Lets Encrypt aangemaakt, welke wél wordt herkend. De verbinding is echter nog altijd niet veilig. Ook niet in Explorer. Het enige dat mij is opgevallen is dat ik bij het exporteren van een certificaat *.pem-bestanden krijg en geen *.crt. Maar omdat Chrome in ieder geval het Lets Encrypt certificaat herkend en dit certificaat ook door Windows wordt herkend, denk ik niet dat daar een probleem ligt.

Ik heb ook de nodige poorten (5001, 443, etc) geforward, maar ook dat mag niet baten. Iemand nog een idee? Ik hoor die zeer graag, want het is me een doorn in het oog (ondanks dat ik heb gelezen dat een 'niet-veilige' https-verbinding nog altijd beter is dan een gewone http-verbinding.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2671
  • Berichten: 16.560
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #1 Gepost op: 14 augustus 2017, 23:21:08 »
Waarom is de verbinding niet veilig bij een zelfondertekend certificaat? Als dat een browsermelding is, is dat eerder een fout in de browser. Chrome en Firefox zijn gewoon gek geworden met hun agressieve meldingen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Tieske

  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 0
  • Berichten: 46
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #2 Gepost op: 15 augustus 2017, 06:23:36 »
@NTC1985 Goed stappen plan.

Let wel op; de certificaten StartSSl worden niet meer als veilig gezien door de browsers. dit schijnt te komen omdat StartSSL tegenwoordig in Chinese handen is.

Verstuurd vanaf mijn SM-A510F met Tapatalk

  • Mijn Synology: DS710+
  • HDD's: 2 x WD20EARS (710+)
  • Extra's: eSata

NTC1985

  • Gast
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #3 Gepost op: 15 augustus 2017, 08:20:46 »
Als dat een browsermelding is, is dat eerder een fout in de browser.

Beste Briolet,

Ik kom (via lokale ip-adres) nu zonder waarschuwing binnen, maar in de adresbalk staat 'niet veilig' in plaats van dat ik een groen slotje zie. Via ***.synology.me:5001 krijg ik nog steeds een melding over Web Server, dus dat werkt ook nog niet naar behoren.

Inmiddels heb ik het certificaat ook op mijn telefoon (iOS) geïnstalleerd, maar ik zie niet dat sprake is van veilige verbinding.


Verzonden vanaf mijn iPhone met Tapatalk

NTC1985

  • Gast
HTTPS werkt, maar niet 'veilig'
« Reactie #4 Gepost op: 15 augustus 2017, 08:23:00 »
Goed stappen plan.

Beste Tieske,

Dat stappenplan, ondanks dat het aanmaken van certificaten via StartSSL is achterhaald, heb ik meerdere keren zorgvuldig bestudeerd. Helaas zonder resultaat.

Offline Tieske

  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 0
  • Berichten: 46
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #5 Gepost op: 15 augustus 2017, 09:29:00 »
Bij mij werkte het eerst niet goed, kreeg nooit de mail vat startssl. dit kwam omdat ikk ddns doorverwijzing had. nadat ik die had opgegeven kwam de bevestigingsmail wel binnen
 
Echter heb ik DS710 die met DSM5.2 werkt, 6.x is helaas niet beschikbaar voor dit model.

Verstuurd vanaf mijn SM-A510F met Tapatalk

  • Mijn Synology: DS710+
  • HDD's: 2 x WD20EARS (710+)
  • Extra's: eSata

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 289
  • Berichten: 1.504
  • Tom Poes, verzin een list ...
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #6 Gepost op: 15 augustus 2017, 09:37:02 »
Een kennelijk nog steeds breed heersend misverstand:

Het "veilig" zijn van een https verbinding kent twee aspecten:
* is de server wie hij beweert te zijn (server identiteit)  en
* versleuteling van de data

Een https verbinding is altijd versleuteld, en kan dus niet (of ten koste van zeer veel moeite)
worden ontcijferd zonder over een sleutel te beschikken.

De identiteit van een server wordt geverifiëerd  middels een officieel (erkend) certificaat.
Een "man in the middle" kan zich dan niet voordoen als de echt bedoelde server.
Zonder officieel certificaat zou een "man in the middle" zich voor kunnen doen als bijv. een bank,
en daarmee in de https communicatie met jou effectief over de sleutel beschikken.

Het hangt er dus maar net vanaf waarom je met https wil werken:
Wil je slechts je (web)data versleuteld over internet versturen, dan kan je best zonder certificaat.
Ben je een interessant doelwit voor kwaadwillende hackers (bijv. een bank), ga dan voor een officiëel certificaat.
Mijn mening: self certification zit er een beetje tussenin, maar is geen vlees en geen vis.
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1388
  • -Ontvangen: 8017
  • Berichten: 44.071
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #7 Gepost op: 15 augustus 2017, 09:55:06 »
@Tieske en @NTC1985 Niet onnodig citeren of onnodig alles citeren.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2671
  • Berichten: 16.560
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #8 Gepost op: 15 augustus 2017, 10:02:55 »
Ook met een self signed certificaat is geen "man in the middle" aanval mogelijk. Jij bent nml de uitgeven van het certificaat en kunt het zelf op echtheid controleren. Dat is in mijn optiek eerder veiliger dan minder veilig dan een officieel certificaat.

Het is het probleem van Chrome dat je geen uitzonderingen kunt toevoegen bij een mismatch tussen de naam op het certificaat en de naam waarmee je inlogt. De meeste andere browsers laten dat wel toe.

In een self-signed certificaat kun je ook IP nummers opnemen. Dat deed ik ook voordat ik certificaten van Let's Encrypt ging gebruiken. Alleen dan moet je het certificaat helemaal zelf maken (heb ik hier ooit eens uitgelegd), want de tool van Synology laat alleen domeinnamen toe in een self-signed certificaat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

NTC1985

  • Gast
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #9 Gepost op: 15 augustus 2017, 10:44:28 »
@Birdy Excuus!



Verzonden vanaf mijn iPhone met Tapatalk

Gemarkeerd als beste antwoord door Gepost op Gisteren om 18:20:13

NTC1985

  • Gast
Re: HTTPS werkt, maar niet 'veilig'
« Reactie #10 Gepost op: 15 augustus 2017, 10:49:03 »
  • Beste antwoord ongedaan maken
  • In een self-signed certificaat kun je ook IP nummers opnemen. Dat deed ik ook voordat ik certificaten van Let's Encrypt ging gebruiken.

    Heb jij - met een certificaat van Let's Encrypt - nu dan ook (nog) een groen slotje in de adresbalk van jouw browser?

    Ik heb jouw post overigens gelezen over hoe zelf te knutselen in een certificaat. Zeer interessant, maar ik hoop dat vooralsnog niet nodig te hebben.

    Uit de reacties leid ik wel af dat ik met een 'groen slotje' niet beter beschermd ben dan zonder.



    Verzonden vanaf mijn iPhone met Tapatalk

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2671
    • Berichten: 16.560
    Re: HTTPS werkt, maar niet 'veilig'
    « Reactie #11 Gepost op: 15 augustus 2017, 11:19:19 »
    Als je inlogt met de url die je voor het certificaat opgegeven hebt, dan is het slotje gewoon groen bij Let's Encrypt



    Ik gebruik meerdere domeinen en subdomeinen in het certificaat. Ook mijn *.synology.me url staat in het certificaat. Je moet wel elk subdomein opnemen.

    Edit: Ik zie net dat ook Firefox de verbinding als "niet veilig" aangeeft als je met een andere url inlogt dan in het certificaat vermeld staat. Ook al heb je een uitzondering toegevoegd.

    Ik vind dat een slechte ontwikkeling omdat dit mensen aanleert om dan toch maar met een "niet veilig" melding verder te werken.

    Ik werk met altijd met Safari. Daar kun je gewoon een uitzondering voor een andere url toevoegen die je dan met het inlog-wachtwoord van je mac moet bevestigen.
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    NTC1985

    • Gast
    Re: HTTPS werkt, maar niet 'veilig'
    « Reactie #12 Gepost op: 15 augustus 2017, 21:43:07 »
    @Briolet Als domeinnaam heb ik bij het certificaat van Let's Encrypt vermeld ***.synology.me, evenals bij het alternatieve adres. Als email heb ik ***@gmail opgegeven.

    Jouw redenering volgend moet ik dus met evengenoemde domeinnaam inloggen, omdat daarmee het certificaat is aangemaakt. Dat klinkt eigenlijk heel logisch. Ik krijg dan alleen de volgende melding: Wat gaat hier mis?

    Ik ga morgen sowieso ook nog even Safari testen.


    Verzonden vanaf mijn iPhone met Tapatalk

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2671
    • Berichten: 16.560
    Re: HTTPS werkt, maar niet 'veilig'
    « Reactie #13 Gepost op: 15 augustus 2017, 23:35:19 »
    Daar is niets mis mee. Als je geen poort opgeeft, kom je op de webserver terecht, mits geïnstalleerd. Maar voor die tijd moest je toch ook al poort 5001 opgeven voor DSM?
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    NTC1985

    • Gast
    Re: HTTPS werkt, maar niet 'veilig'
    « Reactie #14 Gepost op: 16 augustus 2017, 08:11:19 »
    @Briolet Zojuist weer wat zitten stoeien. In plaats van ***.synology.me - waarmee ik zowel via LAN als WAN op de Web Server uit kwam (terwijl ik poort 5001 in mijn router heb doorverwezen naar de juiste NAS) - heb ik ***.quickconnect.to gebruikt. Via LAN kom ik nu wel bij DSM uit, alleen is de verbinding niet veilig. Maar wat blijkt nu, als ik via mijn telefoon (4G) via Chrome het quickconnectadres gebruik, is daar het felbegeerde groene slotje. Heb je wellicht nog een idee hoe ik dat ook intern voor elkaar krijg (hoewel misschien van ondergeschikt belang)?

    Dank voor je reacties tot op heden btw. Wordt zeer gewaardeerd!


     

    Help me door de https jungle heen

    Gestart door ravaooBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

    Reacties: 3
    Gelezen: 1015
    Laatste bericht 10 maart 2020, 15:16:50
    door Birdy
    https terug naar http ivm inloggen

    Gestart door dave_415+Board Synology DSM algemeen

    Reacties: 4
    Gelezen: 1745
    Laatste bericht 16 september 2017, 11:48:17
    door Birdy
    HTTPS uitschakelen of certificaat

    Gestart door advanhoutenBoard Android Apps

    Reacties: 8
    Gelezen: 5410
    Laatste bericht 18 december 2017, 19:07:34
    door advanhouten
    Hoe verander ik mijn https port 443 naar 444?

    Gestart door davinciBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

    Reacties: 4
    Gelezen: 1691
    Laatste bericht 16 juli 2020, 20:18:06
    door davinci
    HTTPS Certificaat probleem

    Gestart door GaffelBoard Synology DSM algemeen

    Reacties: 4
    Gelezen: 825
    Laatste bericht 28 juni 2020, 14:56:01
    door Birdy