Auteur Topic: Security bug in Safe Access?  (gelezen 3422 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Security bug in Safe Access?
« Gepost op: 23 maart 2021, 10:04:27 »
Ik kreeg vanochtend meerdere mailjes over het blokkeren van dezelfde site:

Citaat
De verbinding van DS415-port-A met r3.o.lencr[.]org is geblokkeerd om veiligheidsredenen(Phishing).

Verzonden door uw Synology Router- SynologyRouter

Laat dat nu net de url zijn die in het Let's Encrypt certificaat staat om de geldigheid van het certificaat te controleren via OCSP.



Hebben andere hier ook last van? Lijkt me een kwalijke zaak dat de router juist de controle van een certificaat blokkeert. Nu is de default instelling op de mac om toch door te gaan als de controle faalt, maar als de controle op strikt gezet zou zijn, kun je een site niet eens bezoeken als het systeem niet kan controleren of een certificaat voor zijn vervaldatum ingetrokken is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #1 Gepost op: 23 maart 2021, 10:26:47 »
Ik heb hem nu op de uitzonderingslijst gezet. Maar ik vind het een zeer kwalijke zaak dat juist dit domein geblokkeerd wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #2 Gepost op: 23 maart 2021, 11:58:25 »
Ik heb er maar een ticket voor aangemaakt. Maar blijkbaar is het erg druk met tickets, want ik kreeg als geautomatiseerd antwoord: "Systeem bezet. De ticket wordt binnenkort verzonden."
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Security bug in Safe Access?
« Reactie #3 Gepost op: 23 maart 2021, 13:49:07 »
Zelf gebruik ik geen Lets'Encript certificaat, maar van een niet gratis commerciƫle uitgever.
Heb een dergelijke blokkering daarmee nooit eerder gehad.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #4 Gepost op: 23 maart 2021, 14:18:44 »
Ook dit forum gebruikt een Let's Encrypt certificaat. (En heel veel andere sites als je browsed)

Het probleem is dat de controleservers vaak overbelast zijn en het niet kunnen opvragen van de controle dan een hele website blokkeert. Daarom wordt het vaak geaccepteerd dat een controle niet lukt. In elk geval is dit de norm bij MacOS, maar ik dacht bij de meeste OS-en. Alleen als je een systeem maximaal wilt beveiligen, moet je instellen dat een website geblokkeerd moet worden als je de controleserver niet kunt bereiken.

Er bestaan twee protocollen om te kijken of een certificaat voortijdig ingetrokken is. OCSP en CRL (Beiden worden door Let's Encrypt ondersteund. )

Ik lees op de Wikepedia dat eigenlijk alle browsers OCSP ondersteunen, behalve Chrome. Dus bij die browser zal die url ook nooit opgevraagd worden.

Ter info. Let's Encrypt heeft een speciale webpagina met een 'revoked' certificaat om je eigen browser te testen. "Revoked site"

How Do Browsers Handle Revoked SSL/TLS Certificates?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Security bug in Safe Access?
« Reactie #5 Gepost op: 23 maart 2021, 15:22:06 »
Zo'n "revoke certicate" (ingetrokken certificaat), geeft hier in ieder geval een correcte melding.

Beveiligde verbinding mislukt
Fout tijdens het verbinden met revoked-isrgrootx1.letsencrypt.org. Certificaat van peer is ingetrokken.
Foutcode: SEC_ERROR_REVOKED_CERTIFICATE
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #6 Gepost op: 23 maart 2021, 17:01:46 »
Ik wordt zo ziek van de ondeskundigheid van het Support van Synology. Ze lezen het ticket gewoon nooit. Ik krijg net als antwoord:

Citaat
Thank you for contacting the Synology support team.

To investigate this blockage, and consult it with our development team, I need to connect to your router via remote access.

I sent you a previously email to obtain your credentials and access your router. Please, can you fill out the form and then come back to me?

En dat terwijl die url gewoon in hun eigen database staat. Daar hebben ze geen remote toegang voor nodig. Wordt weer een langdurige zitting, want ik had al aangegeven dat het probleem voor mij opgelost was door deze site te whitelisten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Security bug in Safe Access?
« Reactie #7 Gepost op: 23 maart 2021, 17:03:50 »
 ::) :'(


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Security bug in Safe Access?
« Reactie #8 Gepost op: 23 maart 2021, 18:20:25 »
Tja, je mag hopen dat je een 1e lijn support medewerker waar je contact mee hebt, iets meer weet van de achterliggende problematiek?
En op juiste wijze "vertaalt" naar de achterliggende "engineers" die er meer van weten, maar waar je nooit rechtstreeks contact mee hebt.

Met veel geduld en extra berichten over en weer, kom je hopelijk verder....   :o   :geek:

(Snap je nu hoeveel energie het heeft gekost om de Synology firmware geschikt te maken voor "KPN IPTV routed mode" ?
 En dan gaat het alsnog verkeerd met het vergeten van gedeelten programmacode in te sluiten in officieel uitgegeven updates).

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Re: Security bug in Safe Access?
« Reactie #9 Gepost op: 23 maart 2021, 18:29:38 »
@Briolet  heb het probleem ook vanaf vanmiddag 17 uur.
aanvulling: na 9 meldingen in 1 1/2 uur ook maar op de uitzonderingslijst gezet.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #10 Gepost op: 23 maart 2021, 22:04:15 »
Synology kopieert die lijsten ook gewoon maar van externe sites en moet hopen dat zij de lijsten zorgvuldig samenstellen. In sommige lijsten kun je zelf abuse meldingen opgeven. Maar als daar geen goede controle op is, kunnen hackers gewoon domeinen opgeven die juist tegen misbruik moeten beschermen.

Zoiets lijkt hier ook gebeurd te zijn. Voor Synology is het nu gewoon een kwestie om deze ene url uit de lijst te schrappen. Op langere termijn moeten ze zelf een soort whitelist aanleggen om te voorkomen dat het hackers lukt om dergelijke kritische domeinen in hun blokkeringssysteem te krijgen.

Let's Encrypt is laagdrempelig en wordt ook veel door hackers gebruikt voor hun nepsites. Een eenmaal verkregen certificaat is 3 maand geldig, Door het revoke proces te dwarsbomen, kunnen ze dan zo'n certificaat de hele 3 maand blijven gebruiken. Mits ze niet via andere methoden uit de lucht gehaald worden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #11 Gepost op: 23 maart 2021, 22:13:22 »
Ik zag net dat er op het Engelse forum ook over geklaagd wordt.

Was te verwachten omdat iedereen wel een site met zo'n certificaat bezoekt. Eigenlijk verbaast het me dat er niet veel meer last van hebben.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Security bug in Safe Access?
« Reactie #12 Gepost op: 23 maart 2021, 22:21:00 »
Eigenlijk verbaast het me dat er niet veel meer last van hebben.
Niet iedereen gebruikt Safe Access, denk ik.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Re: Security bug in Safe Access?
« Reactie #13 Gepost op: 23 maart 2021, 22:33:59 »
Morgen toch maar weer teruggaan naar sslcertificaten.nl (xolphin)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Security bug in Safe Access?
« Reactie #14 Gepost op: 23 maart 2021, 23:37:47 »
Dat zal geen effect hebben. Het gaat hier niet over jouw certificaat, maar die van de sites die je bezoekt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Waarschuwing Security Advisor: zwakke wachtwoorden.

Gestart door MennekeBoard Synology DSM 6.0

Reacties: 30
Gelezen: 10336
Laatste bericht 16 maart 2017, 19:30:13
door Babylonia
Synology Strengthens Product Security

Gestart door BirdyBoard Synology Awards & Reviews (NL)

Reacties: 0
Gelezen: 460
Laatste bericht 07 november 2024, 16:40:39
door Birdy
Foute mailtjes van de Security Advisor

Gestart door BrioletBoard Synology DSM BETA versies

Reacties: 5
Gelezen: 4546
Laatste bericht 17 december 2017, 19:17:07
door Birdy
waarschuwing security advisor mbt SSH poort

Gestart door scootfanBoard Synology DSM 6.0

Reacties: 5
Gelezen: 6539
Laatste bericht 03 maart 2018, 22:43:37
door cyrus1977
NAS in DMZ; Security?

Gestart door AnonymousBoard Web Station

Reacties: 2
Gelezen: 3241
Laatste bericht 23 maart 2008, 13:31:41
door Anonymous