Auteur Topic: Https certificaat  (gelezen 2936 keer)

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Https certificaat
« Gepost op: 18 april 2015, 19:37:51 »
Beste Synology forum gebruikers,

Ik wil graag mijn Synology NAS gaan beveiligen met een HTTPS (HyperText Transfer Protocol Secure) om netwerkcommunicatie tussen NAS en apparaat te coderen. Op https://www.synology.com/nl-nl/knowledgebase/tutorials/611 staat een mooi artikel hoe en waarom je dit zou moeten doen maar toch heb ik nog wat vragen over het uitbesteden van een CSR certificaat.
Voor de gene die HTTPS gebruiken om hun NAS te benaderen ben ik eigelijk wel nieuwsgierig of jullie het standaard certificaat gebruikt hebben van Synology of hebben jullie dit via een 3th party bedrijf laten maken?
Toen ik de NAS voor het eerst wilde benaderen via de HTTPS link kreeg ik een melding dat het een onbekend certificaat is met de vraag om dit  te vertrouwd. Bij de informatie van het certificaat stond het de certificaat afkomstig is van Synology in Taiwan en toch ben ik misschien iets te wantrouwig maar bij het accepteren van dit certificaat is het dan mogelijk dat de maker van het certificaat data kunnen aftappen/afluisteren?
Verder stond er vermeld dat de certificaat niet aangesloten was met het domeinnaam moet je dit opgeven bij je DNS? Misschien ben ik iets te wantrouwend maar ik vindt het een uitdaging om me NAS goed te beveiligen tegen derde.
Ik hoor graag jullie ervaringen en/of eventuele suggesties.

Mvg,

Sjoetoee
  • Mijn Synology: Play of

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.097
  • FIFO / LIFO
    • Truebase
Re: Https certificaat
« Reactie #1 Gepost op: 18 april 2015, 20:09:48 »
Synology HQ is in Taiwan. ;)



Verder heb ik niet al teveel verstand van certificaten.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Https certificaat
« Reactie #2 Gepost op: 18 april 2015, 20:35:31 »
Het vooringestelde certificaat is bij iedereen gelijk, dus is de private key bekend zodat het verkeer af te luisteren is. Maar op het moment dat je, via synology, zelf een certificaat aanmaakt, kan iemand anders er niets mee. Het maken van een certificaat is een bibliotheek procedure die reeds op je nas staat. De private key wordt random gegenereerd en is echt onbekend voor de buitenwereld.

Hij is dus gewoon veilig. Het enige verschil is dat je hier zelf de public key op te PC moet installeren (gaat bij de meeste browsers met een paar klikken) en bij een gekocht certificaat verwijst dat certificaat naar een van de groten waarvan de public key al op je PC staat.

Strikt genome is het zelf gemaakte certificaat veel veiliger omdat je daar zeker weet dat de private key geheim is. Bij een gekocht certificaat moet je er maar op vertrouwen dat NSA oid geen kopie van de private key krijgt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Stephan296

  • Gast
Re: Https certificaat
« Reactie #3 Gepost op: 18 april 2015, 20:36:19 »
Als je een certificaat aanmaakt/aanvraagt moet je een domein opgeven waarvoor hij dient.
Als je simpel www.mijnwebsite.nl bijvoorbeeld hebt heb je aan een normaal certificaat voldoende. Echter wil je met subdomeinen werken zoals tv.mijnwebsite.nl als bijvoorbeeld dan moet je een wildcard nemen. Dan kun je in principe een onbeperkt aantal subdomeinen onder je certificaat laten vallen. Of de verstrekker van dat certificaat moet je een beperking opleggen.

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Re: Https certificaat
« Reactie #4 Gepost op: 18 april 2015, 20:48:12 »
Bedankt voor alle snelle reactie's! Ik ga kijken of het lukt om een CSR zelf te creƫren maar dit moet dan geschikt zijn voor eigen gebruik dus niet voor groep onbekende gebruikers. Als ik zelf een CSR aanmaak krijg ik een aantal velden zoals (Lengte persoonlijke sleutel, e-mail organisatie enz) maar wordt dit openbaar gesteld bij het opvragen van het certificaat bij het betreden van de domein naam? Indien dit het geval is lijkt mij het verstandig om dan niet je persoonlijke gegevens in te vullen zoals e-mail adres/stad of dergelijke. Verder heb je de keuze bij lengte persoonlijke sleutel tussen 4096/2048/1024/512. Ik neem aan dat de hoogste sleutel het meest beveiligd is maar levert dit een aanzienlijke vertraging op of is dit te verwaarlozen?
  • Mijn Synology: Play of

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Https certificaat
« Reactie #5 Gepost op: 18 april 2015, 22:41:16 »
Vertraging bij een lange sleutel merk je niet. Gewoon de langste gebruiken.

Alles wat je invult kan een inlogger zien. Bij een gekocht certificaat moet dit controleerbaar zijn, maar bij je zelf kun je elke fantasietekst invullen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline sjoetoee

  • Bedankjes
  • -Gegeven: 52
  • -Ontvangen: 2
  • Berichten: 35
Re: Https certificaat
« Reactie #6 Gepost op: 19 april 2015, 15:13:45 »
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat? Of kan ik een willekeurig e-mail adres/naam opgeven?


Groeten,

Sjoetoee
  • Mijn Synology: Play of

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.097
  • FIFO / LIFO
    • Truebase
Re: Https certificaat
« Reactie #7 Gepost op: 19 april 2015, 15:31:34 »
Citaat
Maar moeten die teksten niet geverifieerd worden bij het opvragen van het certificaat?
Ja, kijk maar in de help:



Citaat
Of kan ik een willekeurig e-mail adres/naam opgeven?
Zo te lezen in de help zal dit niet kunnen.

Dus mijn "aanvraag" zal wel niet goedgekeurd worden  :lol:



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Https certificaat
« Reactie #8 Gepost op: 19 april 2015, 16:36:25 »
Dat is met een "certificaat signing request". Maar daar betaal je voor en dan wordt je zelfgemaakte certificaat door een grote onderneming gesigneerd en zal het certificaat standaard vertrouwd worden. Dit is eigenlijk hetzelfde als een certificaat kopen. Belangrijk verschil is dat je met deze methode wel je zelf gegenereerde private key voor de signerende onderneming geheim kunt houden.

De meeste mensen zullen voor thuisgebruik een 'self signed' certificaat maken. Dan kun je alles invullen en zal het certificaat niet standaard vertrouwd worden door je systeem/browser.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

https terug naar http ivm inloggen

Gestart door dave_415+Board Synology DSM algemeen

Reacties: 4
Gelezen: 1501
Laatste bericht 16 september 2017, 11:48:17
door Birdy
Photostation HTTPS, opend Router webpage

Gestart door JAJBBoard Photo Station / Photos

Reacties: 4
Gelezen: 1488
Laatste bericht 05 december 2015, 11:18:57
door Babylonia
Help me door de https jungle heen

Gestart door ravaooBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 3
Gelezen: 874
Laatste bericht 10 maart 2020, 15:16:50
door Birdy
Webinterface via https zeer zeer traag of werkt helemaal niet

Gestart door Mr.HoekBoard Synology DSM 5.1 en eerder

Reacties: 1
Gelezen: 3760
Laatste bericht 19 juli 2013, 19:09:51
door Mr.Hoek
Subdomein via DDNS https en reverse proxy werkt niet op LAN en LE cert niet herk

Gestart door Daddy CoolsBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 11
Gelezen: 3095
Laatste bericht 16 januari 2018, 17:36:45
door Daddy Cools