Auteur Topic: NET::ERR_CERT_COMMON_NAME_INVALID  (gelezen 902 keer)

Offline ecrollen

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
NET::ERR_CERT_COMMON_NAME_INVALID
« Gepost op: 06 juni 2024, 15:06:15 »
Hello,

Ik kan vanop het werk Quickconnect niet gebruiken vanwege hun firewall. Dus maakte ik altijd verbinding via het IP adres. Echter sinds kort krijg ik de volgende error: NET::ERR_CERT_COMMON_NAME_INVALID in Microsoft Edge. Blijkbaar ligt dit aan het feit dat ik verbinding maak via het IP adres. Ze moeten de veiligheidsinstellingen nog iets verscherpt hebben. Met Chrome/Firefox lukt het wel maar ik kan die browsers niet gebruiken om andere redenen. Hoe kan ik dit probleem verhelpen? Ik dacht aan een gratis certificaat voor een IP adres maar de hele setup lijkt me ingewikkeld en ik ken er niet veel van. Of misschien een gratis domein waar ik wel verbinding naar kan maken maar hoe werkt het dan met het certificaat? Momenteel gebruik ik gewoon het certificaat van Let's encrypt. Wie zou er mij kunnen begeleiden inzake?

Hartelijk dank,

Em.
  • Mijn Synology: ds220+
  • HDD's: 2 x WD20EFZX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7969
  • Berichten: 43.955
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #1 Gepost op: 06 juni 2024, 15:16:07 »
Citaat
Ik dacht aan een gratis certificaat voor een IP adres
Je kunt helemaal geen Certificaat hebben op een Extern IP-Adres !

Lees: Hoe krijg ik een certificaat van Let's Encrypt op mijn Synology NAS?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.540
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #2 Gepost op: 07 juni 2024, 09:45:33 »
Citaat
Je kunt helemaal geen Certificaat hebben op een Extern IP-Adres !

Dat kan zeker wel. Zelfs via DSM kun je ze sinds een aantal jaren maken.  Het zijn dan wel zelf signed certificaten, die je dan aan de vertrouwde certificaten in de browser moet toevoegen. (en dit elke 12 maand herhalen) Maar dat is geen probleem als je zelf de belangrijkste gebruiker van de nas bent.

Citaat
Echter sinds kort krijg ik de volgende error: NET::ERR_CERT_COMMON_NAME_INVALID in Microsoft Edge.

Je moet altijd verbinding maken met de naam die in het certificaat staat. Dat is het hele doel van die certificaten.  Het enige vreemde is dat je deze melding sinds kort krijgt en niet vanaf het eerste moment dat je met een IP verbind.

Citaat
Momenteel gebruik ik gewoon het certificaat van Let's encrypt.

Maar waarom werkt die domeinnaam niet?  Dit is regulier https verkeer. Als het bedrijf dat blokkeert, willen ze echt niet dat je op een eigen nas werkt en kun je dit beter overleggen met de ICT afdeling van het bedrijf.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7969
  • Berichten: 43.955
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #3 Gepost op: 07 juni 2024, 09:55:51 »
Was ook eigenlijk een antwoord op:
Citaat
Momenteel gebruik ik gewoon het certificaat van Let's encrypt.
En dan kan dit ook niet waar zijn:
Citaat
Dus maakte ik altijd verbinding via het IP adres.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline ecrollen

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #4 Gepost op: 19 juni 2024, 17:24:43 »
Sorry voor mijn laat antwoord. Ik was op vakantie.

Bij ZeroSSL zou het wel lukken om een certificate te genereren voor een IP adres: https://help.zerossl.com/hc/en-us/articles/360060119973-Is-It-Possible-To-Generate-a-SSL-Certificate-for-an-IP-Address

Ik ben de procedure reeds gestart maar ze vragen te bewijzen dat ik de eigenaar ben van het domein. Er zijn twee mogelijkheden. Ofwel via DNS (CNAME), ofwel via HTTP file upload.
De DNS (CNAME) procedure loopt als volgt:

To verify your domain using a CNAME record, please follow the steps below:

Sign in to your DNS provider, typically the registrar of your domain.
Navigate to the section where DNS records are managed.
Add the following CNAME record: ...

Waar kan ik deze DNS records vinden? Ik heb een simpel quickconnect Synology domein.

Of kan ik beter de HTTP file uploaden? Deze moet dan terecht komen op :

http://domain.name/.well-known/pki-validation/file.txt

Hoe krijg ik dat bestand op mijn Synology exact in die locatie?

Blijkbaar is het niet meer mogelijk sinds DSM 7.0 om nog self-signed certificates te maken.

Vroeger slaagde ik er nog in om verbinding te maken naar het IP adres. Ik kreeg dan een foutmelding in verband met het certificaat, maar kon een uitzondering toestaan. Tegenwoordig kan ik in Edge geen uitzondering meer toestaan en dus kan ik in Edge geen verbinding meer maken met het ip adres. Indien er een simpelere oplossing bestaat graag.



  • Mijn Synology: ds220+
  • HDD's: 2 x WD20EFZX

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 900
  • -Ontvangen: 1479
  • Berichten: 7.924
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #5 Gepost op: 20 juni 2024, 00:18:49 »
Bij ZeroSSL zou het wel lukken om een certificate te genereren voor een IP adres:
https://help.zerossl.com/hc/en-us/articles/360060119973-Is-It-Possible-To-Generate-a-SSL-Certificate-for-an-IP-Address

Ik ben de procedure reeds gestart maar ze vragen te bewijzen dat ik de eigenaar ben van het domein.

Maar dan snap je de procedure niet echt omtrent certificaten.
Een SSL certificaat kan echt alleen aan een domein worden toegeschreven, niet aan een IP-adres.

Maar omdat een domein altijd is gekoppeld aan een WAN IP-adres, hebben ze een soort van "omweg" controle.
Je moet dus bewijzen dat je eigenaar bent van het domein, wat doorgaans bij een hosting provider is ondergebracht (of een DDNS service provider).
"Administratieve koppelingen"  lopen via de registratie van die service provider.  DAAR (bij die provider) leg je het WAN IP-adres vast.
(Of wordt automatisch aan een WAN IP adres gekoppeld in het geval van een DDNS service).

Zie een vergelijkbare controle vanuit een andere Certificaat organisatie:
https://www.synology-forum.nl/ddns-extern-benaderen/installatie-van-ssl-certificaat/msg327538/#msg327538
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline ecrollen

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #6 Gepost op: 26 juni 2024, 16:28:57 »
Bedankt voor jullie reacties die me helpen de zaak beter te begrijpen.

Het klopt idd. dat ik vroeger enkel via IP kon verbinden door een uitzondering op het certificaat toe te staan. Maar ik begrijp dat dit niet veilig is, zelfs met two-factor authentication? En dat, zo een outsider zich al geen toegang kan verschaffen tot mijn systeem, die sowieso eventuele gegevens zou kunnen meelezen?

Ik begrijp dat het dus best zou zijn dat ik zelf een domein naam neem met certificaat om toch nog op mijn Synology te geraken vanop de computer van mijn werkgever.

Welke registrars kunnen jullie aanraden voor België, niet te duur maar toch met goede support?

Hartelijk dank.

 
  • Mijn Synology: ds220+
  • HDD's: 2 x WD20EFZX

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 900
  • -Ontvangen: 1479
  • Berichten: 7.924
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #7 Gepost op: 27 juni 2024, 01:29:29 »
Het klopt idd. dat ik vroeger enkel via IP kon verbinden door een uitzondering op het certificaat toe te staan. Maar ik begrijp dat dit niet veilig is, zelfs met two-factor authentication?

Nee, dat heeft er allemaal niets mee te maken.  Verwarrend is die berichtgeving voor leken overigens wel.
Tegenwoordig gaat men er vanuit dat je altijd via een versleutelde  "https"  internetverbindingen legt.
En niet via een onversleutelende   "http"  verbinding.

Daar heeft die melding  m.b.t.  een "uitzondering" maken bij gebruik van IP-adres alleen betrekking op. Nergens anders op.
Die uitzondering kun je overigens nog steeds maken met een internetbrowser.
Bij de ene of andere internetbrowser kan de melding wat afwijken.


Omdat men er dus vanuit gaat dat men connecties legt via  "https".
Is er een procedure om een  DDNS domein te gebruiken met Synology producten.
Waarbij dan een  "Let's Encrypt"  certificaat kan worden aangemaakt.

Het enige wat dat doet, is die melding van "onveilige" verbinding onderdrukken.
Het lijkt me het gemakkelijkste die methode van een DDNS domein in te zetten, met bijbehorend "Let's Encrypt" certificaat.

https://kb.synology.com/nl-nl/DSM/tutorial/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7969
  • Berichten: 43.955
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #8 Gepost op: 27 juni 2024, 09:47:33 »
Die link was al gegeven in Reactie #2  ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.540
Re: NET::ERR_CERT_COMMON_NAME_INVALID
« Reactie #9 Gepost op: 27 juni 2024, 10:04:29 »
…kon verbinden door een uitzondering op het certificaat toe te staan. Maar ik begrijp dat dit niet veilig is, …

Een uitzondering maken is gewoon veilig, als je zeker weet dat het jouw certificaat is.  Zo'n uitzondering is alleen vervelend voor derden omdat die jouw certificaat niet kennen en dan niet weten waar ze hun vertrouwen aan geven. Maar als je geen derden toegang geeft, zou  ik me daar niet druk over maken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac