Self Signed Certificate

[fishke]

Ik maak gebruik van een Self Signed Certificate.

Ik heb het certificaat geïmporteerd in mijn mac. Als ik nu dsm open, dan krijg ik een slotje en ik heb een beveiligde verbinding zonder meldingen en dergelijke.

Prima!

Maar mijn vraag is eigenlijk...

Als ik DSM oproep op een andere pc, waar ik niet handmatig dat certificaat heb toegevoegd aan de vertrouwde certificaten. Dan krijg ik dus die melding over onveilig certificaat of self signed certificaat. Stel ik klik daar op toch verbinden... Wat gebeurt er dan? Heb ik dan toch een beveiligde verbinding tot stand of is dit onmogelijk omdat het certificaat niet handmatig is toegevoegd?

Wie weet hier meer over?

Bedankt al vast

[fishke]

Niemand die hier iets van af weet? 

[Birdy]

Ik heb het certificaat geïmporteerd in mijn mac.

Je moet juist geen certificaat te importeren, dan zou je iedereen die op je NAS mag komen, een certificaat moeten importeren, geen doen dus.

NAS heeft een Certificaat op naam van b.v. pietje.synology.nl
Als een PC met https://pietje.synology.nl naar je NAS gaat, wordt er door de PC gekeken, of de NAS betrouwbaar is.
Aangezien pietje.synology.nl overeenkomt met het Certificaat van de NAS, dan is het dus een betrouwbare verbinding.

Gaat een PC met b.v. https://<EXTERN IP ADRES of <INTER IP ADRES> dan heb je geen match met het Certificaat dus, is de verbinding onveilig.

[fishke]

Oke...

Dus de verbinding loopt dus versleuteld?

Ik heb het certificaat zelf toegevoegd en sindsdien krijg ik niet meer de melding dat de verbinding misschien onveilig is. Dit is dus puur om deze melding weg te krijgen als ik jou goed begrijp en heeft dit voor de versleuteling niets betekenen.

Ik ben hier een paar jaar terug ook al eens mee bezig geweest, maar ik heb er te weinig kaas van gegeten helaas... Toen kreeg ik mijn domein naam niet eens aan mijn nas gekoppeld  maar goed...

Voor mij is het meest veilige om gewoon een OpenVPN verbinding met thuis te maken en dan met mijn apparaten mijn nas bereiken. Maar sporadisch wil ik wel eens op een vreemde computer naar mijn nas en dat is dan vervelend.

Bedankt voor je reactie

ps Voor Surveillance Station op de telefoon MOEST ik wel het certificaat zelf importeren en goedkeuren. Anders kon ik wel inloggen, maar geen  live view kijken. Certificaat handmatig toevoegen aan de telefoon was de oplossing.

Heeft dit er niet mee te maken dat het een self signed certificaat is ipv een bekende uitgever?

[Birdy]

Voor mij is het meest veilige om gewoon een OpenVPN verbinding met thuis te maken en dan met mijn apparaten mijn nas bereiken.

Doe ik ook (OpenVPN op m'n Router) dus, mijn verbindingen met mijn Nassen of PC (Remote Desktop) op lokaal IP-adressen, zijn voor mij altijd veilig.

ps Voor Surveillance Station op de telefoon MOEST ik wel het certificaat zelf importeren en goedkeuren. Anders kon ik wel inloggen, maar geen  live view kijken. Certificaat handmatig toevoegen aan de telefoon was de oplossing.

Ik gebruik geen SS dus, kan daar niet veel over zeggen.

Heeft dit er niet mee te maken dat het een self signed certificaat is ipv een bekende uitgever?

Dat zou waar kunnen zijn, volgens mij.

[Briolet]

Ik heb het certificaat geïmporteerd in mijn mac.

Je moet juist geen certificaat te importeren, dan zou je iedereen die op je NAS mag komen, een certificaat moeten importeren, geen doen dus.

Dat gebeurd ook bij openVPN daar moet ook iedereen die er van gebruik maakt dat certificaat (onderdeel van het config bestand) installeren. Overigens gaat het importeren bij een browser# ook heel simpel door aan te geven dat je de verbinding vertrouwt.

Maar handmatig importeren is ook goed. Dat is ook het hele idee van een certificaat. Op je PC staat de public key van het (root)certificaat dat je vertrouwt. De browser fabrikant stopt een groot aantal in de browser. Onderteken je hem zelf, dan moet je hem zelf in de browser zetten.

#: verschilt per browser, maar Safari voegt hem met een paar muiskliks toe aan je certificaten.

[fishke]

Maar wat gebeurt er met bijvoorbeeld de cloudstation app op je mac? Deze geeft ook de zelfde melding over onveilig of self signed certificaat als ik SSL aanvink. Wederom logisch, maar als ik ipv mijn pietje.mysynology.me mijn lokale IPadres invoer krijg ik ook deze melding. Terwijl het lokale IPadres onmogelijk is opgenomen in dat certificaat.

Het is voor mij niet te controleren of mijn verbinding daadwerkelijk https is ipv http...

[Birdy]

Dat gebeurd ook bij openVPN daar moet ook iedereen die er van gebruik maakt dat certificaat (onderdeel van het config bestand) installeren.

Dat is helemaal waar, exporteren van OpenVPN en importeren op je device, Certificaat is inbegrepen, gaat dus automatisch mee maar, dat is een heel ander verhaal.

[Birdy]

@fishke Op je LAN werken met certificaten (dus, secure), vind ik persoonlijk onzin.

[Briolet]

Terwijl het lokale IPadres onmogelijk is opgenomen in dat certificaat.

Het protocol van certificaten voorziet in het toevoegen van een IP adres. Ik heb elders op het forum ook eens een voorbeeld gezet hoe dat moet.

Mijn ervaring was echter dat niet alle browsers netjes alle specificaties volgen. Bij een deel van de browsers werd niet naar dat IP-veld gekeken. Of CS er naar kijkt weet ik niet. Ook niet belangrijk omdat het bij CS één extra klik kost om een onbekend certificaat te vertrouwen.

[Briolet]

Op je LAN werken met certificaten (dus, secure), vind ik persoonlijk onzin.

Is het ook, maar browserfabrikanten willen dat je alleen wachtwoorden via een https verbinding invult. Google is de ergste. Ze hebben een paar jaar geleden een meerjarig masterplan uitgestippeld om het steeds moeilijker te maken om http te gebruiken. Over een paar jaar kun je misschien helemaal geen ww invullen op een http pagina.

Vorige maand hebben ze de volgende stap aangekondigd: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Of die IP adressen in een locale range zitten, kan Google niets schelen.

[fishke]

@fishke Op je LAN werken met certificaten (dus, secure), vind ik persoonlijk onzin.

Nee hier ben ik het ook zeker mee eens. Ik wilde met dit voorbeeld eigenlijk aantonen dat CS wel zegt dat er een onveilig of self signed certificaat wordt gebruikt, maar dat dit dus volgens mij niet is omdat het lokale IP adres niet is opgenomen in het aanmaken van het certificaat. Hier wordt het externe ip en ddns ingevuld. Dus ik heb geen idee of mijn inlog gegevens in zo'n geval onveilig over een ''onbekend'' wifi netwerk gaan.

Maar het gaat mij allemaal boven mijn pet...

Ik ben weer terug bij mijn OpenVPN servertje 

Bedankt voor de moeite

ps Jammer dat je niet een OpenVPN usb sticky kunt maken om even snel op een vreemde pc in te kunnen loggen.

[Birdy]

ps Jammer dat je niet een OpenVPN usb sticky kunt maken om even snel op een vreemde pc in te kunnen loggen.

Ben er nooit naar opzoek geweest maar, uit een beetje Googlen blijkt het wel te kunnen.

[Briolet]

Maar het gaat mij allemaal boven mijn pet...

Gewoon even induiken wat certificaten nu eigenlijk doen want men is veel te bang voor waarschuwingen. En niet naar de discussies op fora kijken omdat er vaker onzin staat dan waarheid.

Een ding is altijd fout: er een gewoonte van maken om een insecure melding als automatisme wegklikken. Dan gaat het ook mis als het een keer een terechte waarschuwing is.  Vergelijk het met een alarmlampje dat je losdraait omdat het toch altijd vals alarm is.

Je moet het systeem altijd zo aanpassen dat een 'insecure' melding wegblijft.