Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: Fvdzandt op 29 maart 2017, 15:26:55
-
Indien ik wil inloggen op de mediaserver komt Google Chrome met met de melding "niet veilig", wat kan hiervan de oorzaak danwel oplossing zijn?
-
De oorzaak is een niet geldig certificaat. De oplossing is een SSL certificaat toevoegen, danwel aanvragen.
Kan tegenwoordig gratis via Let's encrypt (kun je via de web-interface van je NAS aanvragen), waarvoor je poort 80 van je router naar je NAS open moet laten staan, of via StartSSL (TUTORIAL (http://blog.mobile-harddisk.nl/tutorials/ssl-certificaat-synology/))
-
StartSSL wordt niet meer aangeraden omdat het sinds kort niet meer als veilig wordt gemarkeerd door apple, google enz. Google maar op StartSSL china. Als je geen kosten wil maken dan is Let's encrypt en goed alternatief.
-
De eerste hit van Google (LINK (https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html)) geeft inderdaad aan dat StartSSL niet zo veilig is.
Daar geven ze dus ook het advies
Go use Let's encrypt ! :)
-
Ik gebruik geen webserver (en voorlopig niet van plan). Enige optie is dan accepteren vermoed ik.
Kan dit overigen te maken hebben met een raar fenomeen wat ik heb:
Via mobiele data kan ik inloggen op de NAS maar via een ander netwerk dan thuis geeft hij een " connection refused"
-
Certificaten zijn niet alleen voor webservers. Ook bij het inloggen op DSM zelf of DS apps heb je bij https en geldige certificaat nodig.
Als je vanuit buiten via http je nas kan benaderen dan ben je erg onverstandig bezig.
En over het inloggen buiten huis, weet je zeker dat je je nas vanuit buiten kan benaderen? Zet je de wifi echt uit op je mobiele device bij het testen? Doe anders mijnip.nl op dat moment om te kijken of je daadwerkelijk een andere (publieke) IP adres krijgt op je mobiel.
-
De oorzaak is een niet geldig certificaat.
Ik betwijfel sterk of dat de oorzaak is. Het is waarschijnlijker dat de oorzaak de afwezigheid van een certificaat is.
Sinds dit voorjaar krijg je deze melding als er op een http site een inlogveld verschijnt. In de toekomst wil Chrome dat voor alle http verbindingen gaan tonen. Ben je het hier niet mee eens, moet je gewoon een andere browser gaan gebruiken.
Gelukkig hebben wij hier een vooruitziende sitebeheerder die dit jaar een certificaat is gaan gebruiken voor dit forum omdat Crome deze aanpassing in beleid al afgelopen najaar aangekondigd heeft.
-
Certificaten zijn niet alleen voor webservers. Ook bij het inloggen op DSM zelf of DS apps heb je bij https en geldige certificaat nodig.
Als je vanuit buiten via http je nas kan benaderen dan ben je erg onverstandig bezig.
En over het inloggen buiten huis, weet je zeker dat je je nas vanuit buiten kan benaderen? Zet je de wifi echt uit op je mobiele device bij het testen? Doe anders mijnip.nl op dat moment om te kijken of je daadwerkelijk een andere (publieke) IP adres krijgt op je mobiel.
Bedankt voor het advies
1. Dus advies is om poort 5000 dicht te doen en alleen via 5001? Werken de apps op de telefoon dan ook nog?
2. Ik zet inderdaad mijn wifi uit en dan kan ik wel inloggen op het ipadres:5000.
Met wifi krijg ik een connection refused. Mijn router kan ik wel pingen op de wifi
3. Voor certificaat moet ik dan eerst de webserver installeren, via de genoemde site lijkt niet echt betrouwbaar?
Vast bedankt
-
- Maak eerst een certificaat aan op je NAS: klik (https://stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/)
- configureer je apps op mobiel etc op https poort en test of het werkt
- als je ook vanaf buiten toegang wil dan forward je in de router de https poort (5001 in jou geval) naar de interne IP van de NAS
let op, sommige apps zoals ds photo en ds cloud gebruiken andere (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services) poorten dus die moet je ook forwarden in de router
-
MOD: @Fvdzandt Niet onnodig citeren.
Certificaat aangemaakt op adres xxxx.synology.me. Helaas als ik nu ga naar http://xxx.synology.me:5001/ krijg ik de error:
400 Bad RequestThe plain HTTP request was sent to HTTPS port
-
Je moet nu https://xxx.synology.me:5001/ gebruiken
-
MOD: @Fvdzandt Niet onnodig citeren.
Bijna..helaas, zie onderstaand en dit had met certificatie toch over moeten zijn
Je verbinding is niet privé
Aanvallers proberen mogelijk je gegevens van xxx.synology.me te stelen (bijvoorbeeld wachtwoorden, berichten of creditcarddetails). NET::ERR_CERT_AUTHORITY_INVALID
-
Hmm, wellicht omdat je een synology.me domeinnaam gebruikt? Zelf heb ik een eigen geregistreerde domeinnaam.
Misschien kunnen andere mensen die synology.me icm lets encrypt gebruiken even hun ervaringen delen?
-
Heb je wel het goede certificaat ingesteld onder instellingen > beveiliging > certificaat > configureren ?
-
Kijk ook even naar de reacties op de handleing die je net gevolgd hebt, misschien staat daar wat nuttigs tussen: klik (https://stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/#comment-7)
-
Daar staan er twee, moet ik de "nieuwe" als standaard aangeven?
-
Ja, probeer maar.
-
MOD: @Fvdzandt Niet onnodig citeren.
Helaas zelfde resultaat
-
Ik lees hier (https://stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/#comment-129) dat het ook via synology.me domeinen moet werken dus wellicht heb je iets niet goed gedaan. Certificaat verwijderen en opnieuw beginnen?
-
Misschien kunnen andere mensen die synology.me icm lets encrypt gebruiken even hun ervaringen delen?
Het hele forum staat er vol mee.
-
Niet allen het hele forum staat daar vol mee, hetzelfde geldt voor dit hele topic. :evil: notbene, een (gratis) ssl certificaat installeren zonder domein levert je gewoon weer dezelfde melding op. Die @&&€ browsermeldingen zijn mijnsinziens uberhaupt verkeerd vertaald.
De redenatie is dat de wederpartij niet geverifieerd kan worden en daarmee dus de verbinding als niet betrouwbaar beschouwd wordt. Logisch gezien geen speld tussen te krijgen. Dit is niet goed terug te lezen in de foutmelding.
-
Nogmaals: Die melding heeft niets met geverifieerde certificaten van doen. Het is gewoon een aanpassing die in Chrome per eind eind februari is toegevoegd voor inloggen op een http sites.