Synology-Forum.nl

Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: sjoetoee op 18 april 2015, 19:37:51

Titel: Https certificaat
Bericht door: sjoetoee op 18 april 2015, 19:37:51
Beste Synology forum gebruikers,

Ik wil graag mijn Synology NAS gaan beveiligen met een HTTPS (HyperText Transfer Protocol Secure) om netwerkcommunicatie tussen NAS en apparaat te coderen. Op https://www.synology.com/nl-nl/knowledgebase/tutorials/611 staat een mooi artikel hoe en waarom je dit zou moeten doen maar toch heb ik nog wat vragen over het uitbesteden van een CSR certificaat.
Voor de gene die HTTPS gebruiken om hun NAS te benaderen ben ik eigelijk wel nieuwsgierig of jullie het standaard certificaat gebruikt hebben van Synology of hebben jullie dit via een 3th party bedrijf laten maken?
Toen ik de NAS voor het eerst wilde benaderen via de HTTPS link kreeg ik een melding dat het een onbekend certificaat is met de vraag om dit  te vertrouwd. Bij de informatie van het certificaat stond het de certificaat afkomstig is van Synology in Taiwan en toch ben ik misschien iets te wantrouwig maar bij het accepteren van dit certificaat is het dan mogelijk dat de maker van het certificaat data kunnen aftappen/afluisteren?
Verder stond er vermeld dat de certificaat niet aangesloten was met het domeinnaam moet je dit opgeven bij je DNS? Misschien ben ik iets te wantrouwend maar ik vindt het een uitdaging om me NAS goed te beveiligen tegen derde.
Ik hoor graag jullie ervaringen en/of eventuele suggesties.

Mvg,

Sjoetoee
Titel: Re: Https certificaat
Bericht door: Birdy op 18 april 2015, 20:09:48
Synology HQ is in Taiwan. ;)

[attachimg=1]

Verder heb ik niet al teveel verstand van certificaten.
Titel: Re: Https certificaat
Bericht door: Briolet op 18 april 2015, 20:35:31
Het vooringestelde certificaat is bij iedereen gelijk, dus is de private key bekend zodat het verkeer af te luisteren is. Maar op het moment dat je, via synology, zelf een certificaat aanmaakt, kan iemand anders er niets mee. Het maken van een certificaat is een bibliotheek procedure die reeds op je nas staat. De private key wordt random gegenereerd en is echt onbekend voor de buitenwereld.

Hij is dus gewoon veilig. Het enige verschil is dat je hier zelf de public key op te PC moet installeren (gaat bij de meeste browsers met een paar klikken) en bij een gekocht certificaat verwijst dat certificaat naar een van de groten waarvan de public key al op je PC staat.

Strikt genome is het zelf gemaakte certificaat veel veiliger omdat je daar zeker weet dat de private key geheim is. Bij een gekocht certificaat moet je er maar op vertrouwen dat NSA oid geen kopie van de private key krijgt.
Titel: Re: Https certificaat
Bericht door: Stephan296 op 18 april 2015, 20:36:19
Als je een certificaat aanmaakt/aanvraagt moet je een domein opgeven waarvoor hij dient.
Als je simpel www.mijnwebsite.nl bijvoorbeeld hebt heb je aan een normaal certificaat voldoende. Echter wil je met subdomeinen werken zoals tv.mijnwebsite.nl als bijvoorbeeld dan moet je een wildcard nemen. Dan kun je in principe een onbeperkt aantal subdomeinen onder je certificaat laten vallen. Of de verstrekker van dat certificaat moet je een beperking opleggen.
Titel: Re: Https certificaat
Bericht door: sjoetoee op 18 april 2015, 20:48:12
Bedankt voor alle snelle reactie's! Ik ga kijken of het lukt om een CSR zelf te creƫren maar dit moet dan geschikt zijn voor eigen gebruik dus niet voor groep onbekende gebruikers. Als ik zelf een CSR aanmaak krijg ik een aantal velden zoals (Lengte persoonlijke sleutel, e-mail organisatie enz) maar wordt dit openbaar gesteld bij het opvragen van het certificaat bij het betreden van de domein naam? Indien dit het geval is lijkt mij het verstandig om dan niet je persoonlijke gegevens in te vullen zoals e-mail adres/stad of dergelijke. Verder heb je de keuze bij lengte persoonlijke sleutel tussen 4096/2048/1024/512. Ik neem aan dat de hoogste sleutel het meest beveiligd is maar levert dit een aanzienlijke vertraging op of is dit te verwaarlozen?
Titel: Re: Https certificaat
Bericht door: Briolet op 18 april 2015, 22:41:16
Vertraging bij een lange sleutel merk je niet. Gewoon de langste gebruiken.

Alles wat je invult kan een inlogger zien. Bij een gekocht certificaat moet dit controleerbaar zijn, maar bij je zelf kun je elke fantasietekst invullen.
Titel: Re: Https certificaat
Bericht door: sjoetoee op 19 april 2015, 15:13:45
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat? Of kan ik een willekeurig e-mail adres/naam opgeven?


Groeten,

Sjoetoee
Titel: Re: Https certificaat
Bericht door: Birdy op 19 april 2015, 15:31:34
Citaat
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat?
Ja, kijk maar in de help:

[attachimg=1]

Citaat
Of kan ik een willekeurig e-mail adres/naam opgeven?
Zo te lezen in de help zal dit niet kunnen.

Dus mijn "aanvraag" zal wel niet goedgekeurd worden  :lol:

[attachimg=2]
Titel: Re: Https certificaat
Bericht door: Briolet op 19 april 2015, 16:36:25
Dat is met een "certificaat signing request". Maar daar betaal je voor en dan wordt je zelfgemaakte certificaat door een grote onderneming gesigneerd en zal het certificaat standaard vertrouwd worden. Dit is eigenlijk hetzelfde als een certificaat kopen. Belangrijk verschil is dat je met deze methode wel je zelf gegenereerde private key voor de signerende onderneming geheim kunt houden.

De meeste mensen zullen voor thuisgebruik een 'self signed' certificaat maken. Dan kun je alles invullen en zal het certificaat niet standaard vertrouwd worden door je systeem/browser.