SSL beveiliging Let's Encrypt

[Lorian]

Beste alle,

Ten eerste hartelijk dank voor deze, en andere, fora. Ik heb een tijdje geleden een ds716+ gekocht, DSM 6.0 RC geïnstalleerd en een website draaiende. Tussendoor ben ik tegen vele problemen opgelopen, die ik dankzij alle fora opgelost heb gekregen. Er blijven bij mij echte wat problemen over, waar ik ook wel antwoorden op vind maar niet zulke duidelijke.

1: Ik heb een SSL certificaat van Let's Encrypt (werkt geweldig, makkelijk gratis beveiligd) op mijn synology voor mydomain.nl en www.mydomain.nl. Als ik echter naar mijn website ga, geeft deze aan: verbinding is niet beveiligd. Hij gaat niet autmatisch naar Https:// maar gewoon http:// (ik gebruik een wordpress website). Als ik zelf naar http://Https://mydomain.nl of https://www.mydomain.nl ga, dan zie ik dat de website beveiligd is met een certificaat van Let's Encrypt
2: Ik wil photostation ook voor klanten gaan gebruiken, waarop ik alle foto's zet die ik voor hun maak. Het is alleen raar voor hun dat ze de melding krijgen dat de pagina niet beveiligd is. Hoe krijg ik photostation op photo.mydomain.nl (ik weet ook niet of dit mogelijk is i.v.m. de domein verstrekker), zodat deze onder het SSL certificaat komt te vallen. Of is er een manier om Photostation beveiligd te krijgen op name.synology.me:433/photo
3. (vraagje over mail server) Bij mail server heb ik nu enkel naam@mydomain.nl ingesteld staan. Maar is het ook gelijk om allerlei andere onderwerpen voor @mydomain.nl naar naam@mydomain.nl door te sturen. Zoals bijvoorbeeld info@ of factuur@. Ik weet niet of en hoe dit mogelijk in combinatie met mijn domein verstrekker (strato  )

Ik heb zelf al het een en ander gevonden, wat betreft photostation. Door deze om te leiden naar mijn eigen domein kan hij beveiligd worden, door de .htacces aan te passen. Dit heb ik geprobeerd, en ook al bij eerdere problemen succesvol gebruikt, alleen dat lukt nu niet. Het volgende heb ik toegevoegd:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^photo.mijndomein.nl$
RewriteRule ^(.*)$ /photo/$1 [L]

Ik hoop dat jullie mij kunnen helpen

[Babylonia]

Ik heb een eigen oplossing, maar met wat bestuderen kun je dat voor jezelf waarschijnlijk wel zodanig aanpassen dat je op een vergelijkbare manier te werk kunt gaan:
http://www.synology-forum.nl/web-server/sitex-met-poorty-via-virtualhost-op-subdomein/msg182183/?topicseen#msg182183

Websites dat die van  http  automatisch naar  https  gaan, doe je met instellingen in de NAS en Photo Station.

[Briolet]

Als je wilt dwingen dat al je inloggers HTTPS gebruiken, moet je bij webservices de optie 'HSTS' inschakelen.

Bij de eerste HTTP inlog wordt naar HTTPS overgeschakeld. Maar daarbovenop wordt en nog code naar de browser gestuurd dat hij in toekomst altijd HTTPS moet gebruiken. Vanaf dat moment weigert je browser zelfs HTTP in te loggen. (Zelfs als je de optie weer uit zet op de nas). De browser onthoudt die instelling tot een half jaar na de laatste inlog. Of totdat je de cache wist.

[Briolet]

Nog even een update van het belang van HSTS om m.i.t. aanvallen te voorkomen.

[Babylonia]

Op zichzelf goed dat je hier op wijst.

Maar als de opties in DSM zijn ingesteld om automatisch van http naar https te gaan en je volgt precies de "vervolg" vinkjes zoals in de schermvoorbeelden aangegeven, voldoet het eraan. Het zit standaard als te kiezen optie in DSM.

[Lorian]

Momenteel heb ik, samen met synology support, punt twee opgelost.

Simpelweg een cirtificaat aanmaken voor name.mysonlogy.com en die gebruiken als standaard maakt dat alles op name.mysonogy.com/etc beveiligd wordt door Let's Encrypt. Alleen dan nog steeds het probleem dat hij standaard naar http gaat, terwijl https een beveiligde verbinding met Let's Encrypt certificaat laat zien.

Als ik hem via mijn thuis netwerk (ip-adres) benader, krijg ik alleen de melding dat het certificaat niet is uitgegeven voor die website. Dit is echter logisch, en geen verder lijkt mij dat geen probleem.

Ik dacht dat ik mijn instellingen alle verbindingen automatisch naar https heb geleid, zie afbeelding. Het valt me op dat ik een ander scherm krijg in de instellingen.

[Babylonia]

Ik gebruik  DSM 5.2-5644 Update 5
Ik zou toch zeggen onderaan je handtekening onder je berichten dat je toch ook de huidige DSM versie zou gebruiken.
(Of gebruik je DSM 6 beta ??)

Wat me wel opvalt is het gebruik van andere poorten tegenover de standaard poorten.
Weet niet of dat leidt naar een net wat andere interface omdat achterliggende connecties met andere applicaties daarmee worden ontkoppelt?  (Heb nu echter niet de tijd om de details zelf te bekijken wat daar wel of niet onder valt, moet zo weg).

[Pippin]

Het valt me op dat ik een ander scherm krijg in de instellingen.

Misschien niet beschikbaar juist vanwege het gebruik van LE en Synology problemen wil voorkomen?
https://timkadlec.com/2016/01/hsts-and-lets-encrypt/

Does the Let’s Encrypt client enable HSTS?
The Let’s Encrypt client can enable HSTS if you include the (currently undocumented) hsts flag.
./letsencrypt-auto --hsts
The reason why it’s not enabled by default is that if things go wrong HSTS can cause some major headaches.

https://community.letsencrypt.org/t/automatically-enable-hsts/7476

[Lorian]

Sorry, gebruik inderdaad een een andere DSM versie, de 6.0 RC (beta). Ik heb het toegevoegd aan mijn onderschrift. Ik heb andere poorten gebruikt dan standaard, dit werd aangeraden door de Security Advisor.

Het klopt wat MMD zecht.

Misschien niet beschikbaar juist vanwege het gebruik van LE en Synology problemen wil voorkomen?

Synology heeft namelijk ook aangegeven altijd een https:// link door te geven aan klanten. Ik kan wel HTST inschakelen zie screenshot.

[/quote]