Auteur Topic: Https certificaat  (gelezen 2657 keer)

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Https certificaat
« Gepost op: 18 april 2015, 19:37:51 »
Beste Synology forum gebruikers,

Ik wil graag mijn Synology NAS gaan beveiligen met een HTTPS (HyperText Transfer Protocol Secure) om netwerkcommunicatie tussen NAS en apparaat te coderen. Op https://www.synology.com/nl-nl/knowledgebase/tutorials/611 staat een mooi artikel hoe en waarom je dit zou moeten doen maar toch heb ik nog wat vragen over het uitbesteden van een CSR certificaat.
Voor de gene die HTTPS gebruiken om hun NAS te benaderen ben ik eigelijk wel nieuwsgierig of jullie het standaard certificaat gebruikt hebben van Synology of hebben jullie dit via een 3th party bedrijf laten maken?
Toen ik de NAS voor het eerst wilde benaderen via de HTTPS link kreeg ik een melding dat het een onbekend certificaat is met de vraag om dit  te vertrouwd. Bij de informatie van het certificaat stond het de certificaat afkomstig is van Synology in Taiwan en toch ben ik misschien iets te wantrouwig maar bij het accepteren van dit certificaat is het dan mogelijk dat de maker van het certificaat data kunnen aftappen/afluisteren?
Verder stond er vermeld dat de certificaat niet aangesloten was met het domeinnaam moet je dit opgeven bij je DNS? Misschien ben ik iets te wantrouwend maar ik vindt het een uitdaging om me NAS goed te beveiligen tegen derde.
Ik hoor graag jullie ervaringen en/of eventuele suggesties.

Mvg,

Sjoetoee
  • Mijn Synology: Play of

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1119
  • -Ontvangen: 6697
  • Berichten: 39.148
  • Synology is awesome.
    • RAID = BACKUP?
Re: Https certificaat
« Reactie #1 Gepost op: 18 april 2015, 20:09:48 »
Synology HQ is in Taiwan. ;)



Verder heb ik niet al teveel verstand van certificaten.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556
DS918+    DSM 6.2.4-25556-2
DS220+    DSM 6.2.4-25556-2
-----VMM  DSM 7.0.1-42218
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 154
  • -Ontvangen: 2291
  • Berichten: 14.813
Re: Https certificaat
« Reactie #2 Gepost op: 18 april 2015, 20:35:31 »
Het vooringestelde certificaat is bij iedereen gelijk, dus is de private key bekend zodat het verkeer af te luisteren is. Maar op het moment dat je, via synology, zelf een certificaat aanmaakt, kan iemand anders er niets mee. Het maken van een certificaat is een bibliotheek procedure die reeds op je nas staat. De private key wordt random gegenereerd en is echt onbekend voor de buitenwereld.

Hij is dus gewoon veilig. Het enige verschil is dat je hier zelf de public key op te PC moet installeren (gaat bij de meeste browsers met een paar klikken) en bij een gekocht certificaat verwijst dat certificaat naar een van de groten waarvan de public key al op je PC staat.

Strikt genome is het zelf gemaakte certificaat veel veiliger omdat je daar zeker weet dat de private key geheim is. Bij een gekocht certificaat moet je er maar op vertrouwen dat NSA oid geen kopie van de private key krijgt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Stephan296

  • Gast
Re: Https certificaat
« Reactie #3 Gepost op: 18 april 2015, 20:36:19 »
Als je een certificaat aanmaakt/aanvraagt moet je een domein opgeven waarvoor hij dient.
Als je simpel www.mijnwebsite.nl bijvoorbeeld hebt heb je aan een normaal certificaat voldoende. Echter wil je met subdomeinen werken zoals tv.mijnwebsite.nl als bijvoorbeeld dan moet je een wildcard nemen. Dan kun je in principe een onbeperkt aantal subdomeinen onder je certificaat laten vallen. Of de verstrekker van dat certificaat moet je een beperking opleggen.

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Re: Https certificaat
« Reactie #4 Gepost op: 18 april 2015, 20:48:12 »
Bedankt voor alle snelle reactie's! Ik ga kijken of het lukt om een CSR zelf te creƫren maar dit moet dan geschikt zijn voor eigen gebruik dus niet voor groep onbekende gebruikers. Als ik zelf een CSR aanmaak krijg ik een aantal velden zoals (Lengte persoonlijke sleutel, e-mail organisatie enz) maar wordt dit openbaar gesteld bij het opvragen van het certificaat bij het betreden van de domein naam? Indien dit het geval is lijkt mij het verstandig om dan niet je persoonlijke gegevens in te vullen zoals e-mail adres/stad of dergelijke. Verder heb je de keuze bij lengte persoonlijke sleutel tussen 4096/2048/1024/512. Ik neem aan dat de hoogste sleutel het meest beveiligd is maar levert dit een aanzienlijke vertraging op of is dit te verwaarlozen?
  • Mijn Synology: Play of

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 154
  • -Ontvangen: 2291
  • Berichten: 14.813
Re: Https certificaat
« Reactie #5 Gepost op: 18 april 2015, 22:41:16 »
Vertraging bij een lange sleutel merk je niet. Gewoon de langste gebruiken.

Alles wat je invult kan een inlogger zien. Bij een gekocht certificaat moet dit controleerbaar zijn, maar bij je zelf kun je elke fantasietekst invullen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Re: Https certificaat
« Reactie #6 Gepost op: 19 april 2015, 15:13:45 »
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat? Of kan ik een willekeurig e-mail adres/naam opgeven?


Groeten,

Sjoetoee
  • Mijn Synology: Play of

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1119
  • -Ontvangen: 6697
  • Berichten: 39.148
  • Synology is awesome.
    • RAID = BACKUP?
Re: Https certificaat
« Reactie #7 Gepost op: 19 april 2015, 15:31:34 »
Citaat
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat?
Ja, kijk maar in de help:



Citaat
Of kan ik een willekeurig e-mail adres/naam opgeven?
Zo te lezen in de help zal dit niet kunnen.

Dus mijn "aanvraag" zal wel niet goedgekeurd worden  :lol:



CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556
DS918+    DSM 6.2.4-25556-2
DS220+    DSM 6.2.4-25556-2
-----VMM  DSM 7.0.1-42218
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 154
  • -Ontvangen: 2291
  • Berichten: 14.813
Re: Https certificaat
« Reactie #8 Gepost op: 19 april 2015, 16:36:25 »
Dat is met een "certificaat signing request". Maar daar betaal je voor en dan wordt je zelfgemaakte certificaat door een grote onderneming gesigneerd en zal het certificaat standaard vertrouwd worden. Dit is eigenlijk hetzelfde als een certificaat kopen. Belangrijk verschil is dat je met deze methode wel je zelf gegenereerde private key voor de signerende onderneming geheim kunt houden.

De meeste mensen zullen voor thuisgebruik een 'self signed' certificaat maken. Dan kun je alles invullen en zal het certificaat niet standaard vertrouwd worden door je systeem/browser.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

Hoe verander ik mijn https port 443 naar 444?

Gestart door davinciBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 4
Gelezen: 652
Laatste bericht 16 juli 2020, 20:18:06
door davinci
Verbinding DS niet mogelijk HTTPS cerificaat revoked

Gestart door Fox1DBoard Netwerk algemeen

Reacties: 9
Gelezen: 1209
Laatste bericht 23 februari 2018, 09:50:06
door Fox1D
inloggen DSM via HTTPS (SSL) of VPN?

Gestart door steef27Board VPN Server

Reacties: 4
Gelezen: 1959
Laatste bericht 28 juli 2016, 20:57:27
door mchp92
WebDAV en HTTPS

Gestart door kdesmedtBoard WebDav

Reacties: 1
Gelezen: 2073
Laatste bericht 09 juli 2014, 18:09:34
door Babylonia
Wel/niet webmail via https mogelijk??

Gestart door fruitBoard Mail Station

Reacties: 3
Gelezen: 2700
Laatste bericht 24 juli 2010, 19:00:59
door GNOE Inc.