Auteur Topic: Let's Encrypt certificaat  (gelezen 3862 keer)

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Let's Encrypt certificaat
« Gepost op: 09 januari 2017, 14:51:43 »
Hi,

Ik probeer een eigen certificaat aan te maken via DSM (Configuratiescherm -> Beveiliging -> Certificaat -> Toevoegen -> 'Een nieuw certificaat toevoegen' -> 'Krijg een certificaat van Let's Encrypt' -> 'mijndomein.nl' + 'mijnmailadres@hotmail.com' -> Toepassen).
Dan krijg ik de volgende foutmelding: "De bewerking is mislukt. Meld u opnieuw aan bij DSM en probeer het opnieuw."

Dit heb ik natuurlijk in meerdere browsers geprobeerd, maar dat help niets... :S

Heeft iemand hier misschien ervaring mee?

Alvast bedankt, groeten Tom
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline MAdD

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 3
  • Berichten: 49
Re: Let's Encrypt certificaat
« Reactie #1 Gepost op: 09 januari 2017, 15:33:46 »
weet je zeker dat poort 80 (en 443) openstaan op je verbinding?

En komt mijndomain.nl wel uit op je NAS?

  • Mijn Synology: DS212+
  • Extra's: DS3615xs (XPEnology)

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #2 Gepost op: 09 januari 2017, 18:33:08 »
Ik had mijndomein.nl al naar mijn Ziggo publieke ip adres verwezen.

En ik moest alleen dus nog port-forwarding op mijn Ziggo horizon mediabox aanzetten (dit voor tcp/80 en tcp/443 en de alternatieve http en https poorten gedaan); toen lukte het wel.

Ander vraagje; is dit certificaat alleen voor externe verbindingen; deze 'koppelt' eigenlijk alleen mijndomein.nl aan het apparaat, toch?

M.a.w. door middel van het certificaat 'weet' de client dat mijn Synology is, wie hij zegt dat hij is....

#verwarrendallemaal
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 271
  • -Ontvangen: 1801
  • Berichten: 10.984
    • http://www.dwvbb.nl
Re: Let's Encrypt certificaat
« Reactie #3 Gepost op: 09 januari 2017, 20:33:51 »
Een certificaat maakt een website "betrouwbaar".
Het koppelt niet een IP adres aan een apparaat.
Daar is DDNS voor bedacht.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.243
Re: Let's Encrypt certificaat
« Reactie #4 Gepost op: 09 januari 2017, 20:51:25 »
Een kleine correctie op bovenstaande. Een certificaat maakt niet de website betrouwbaar, maar de verbinding met de website. Ook op een criminele website kun je gewoon een certificaat zetten.  ;)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 271
  • -Ontvangen: 1801
  • Berichten: 10.984
    • http://www.dwvbb.nl
Re: Let's Encrypt certificaat
« Reactie #5 Gepost op: 09 januari 2017, 21:55:22 »
Dat bedoel ik eigenlijk, ik zeg het verkeerd  ;)
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #6 Gepost op: 09 januari 2017, 22:07:36 »
Zelfs een kleine correctie/aanvulling daarop...igv een proxy (is eigenlijk ook een man in the middle) praat je ook niet rechtstreeks met de server, maar met een proxy; vandaar dat ook https diep in de packets geïnspecteerd kan worden (is het principe van een 4th gen firewall; deze moet ook op malware kunnen checken). De verbinding zelf is op zich wel betrouwbaar, als diegene is wie je denkt dat hij is.

Bedankt allemaal voor de snelle hulp en ophelderingen :) (jullie (dit forum) reageren echt sneller dan de meeste andere fora die ik eerder gebruikt heb).

Groetjes, Tom
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.243
Re: Let's Encrypt certificaat
« Reactie #7 Gepost op: 09 januari 2017, 22:19:48 »
Ander vraagje; is dit certificaat alleen voor externe verbindingen; deze 'koppelt' eigenlijk alleen mijndomein.nl aan het apparaat, toch?

Ja, alleen voor de externe verbinding omdat Let's Encrypt, via poort 80, elke url in het certificaat controleert. Je kunt dus geen IP adressen of interne domeinnamen in het certificaat opnemen. Iets wat met een self signed certificaat wel kan.

Alleen jammer dat je geen wildcards kunt gebruiken. Ik heb vandaag weer de bestaande certificaten kunnen weggooien en een nieuwe moeten aanmaken omdat ik ook "chat.mijndomein.nl" moest toevoegen. (Voor de beta van de Synology chat-applicatie)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Let's Encrypt certificaat
« Reactie #8 Gepost op: 09 januari 2017, 22:59:42 »
Citaat
https diep in de packets geïnspecteerd kan worden
Alleen als je het certificaat van de proxy accepteert...dat is een keuze, vertrouw je die partij... het breekt de hele bedoeling van HTTPS!
Citaat
De verbinding zelf is op zich wel betrouwbaar
Is op zichzelf dus niet waar...MITM is dus Not Done!

MITM gebeurt vaker dan je denkt, weleens de algemene voorwaarden gelezen als je aanmelden moet op een hotspot of certificaat melding krijgt?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #9 Gepost op: 10 januari 2017, 13:57:57 »
MOD: Niet onnodig citeren.

Nou, dat is dus wel precies de manier dat een product als FirePOWER van Cisco (ongetwijfeld zullen dat er veel meer zijn) jouw verkeer onderschept en zich voordoet als jou... Natuurlijk moet jij het certificaat van de FirePOWER geaccepteerd hebben, maar er is een tweede/aparte secure verbinding tussen de server die jij probeert te benaderen en de Cisco FP; de Cisco FP is in dit geval de man in the middle en is doodnormaal in de IPS wereld :)

30208-0

In privé situaties gaat dit natuurlijk niet op, maar zakelijk zeer zeker wel. Er is dan zelfs geen muisklik van jou voor nodig om een cert te accepteren, gewoon via een group policy of inlogscript.

(3 weken terug nog een training over gehad)
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #10 Gepost op: 10 januari 2017, 14:07:55 »
Als je het interessant vindt...:

30210-0

30212-1

Groetjes, Tom
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Let's Encrypt certificaat
« Reactie #11 Gepost op: 10 januari 2017, 14:23:04 »
Hoe men het went of keert, het breekt het SSL principe. Gebruikers zijn zich niet bewust van mogelijke gevolgen.


Citaat
en is doodnormaal in de IPS wereld
Bedrijfsmatig prima wat mij betreft, als de werknemers daarvan op de hoogte gesteld worden.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #12 Gepost op: 10 januari 2017, 14:33:55 »
Hmmm...denk het niet ;)

Zal ook wel in een aanvulling van de arbeidsvoorwaarden aangegeven zijn.
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.243
Re: Let's Encrypt certificaat
« Reactie #13 Gepost op: 10 januari 2017, 16:32:00 »
In elk geval kun je dan zelf het certificaat niet controleren. Als je verbinding met je bank maakt en controleert het certificaat, zoals de bank eist, dan zie je plots een certificaat dat niet van je bank is.

Je weet dan dat er een MIT gaande is, dat zou mij geen goed gevoel geven.

Als systeembeheerder zal het wel een goed gevoel zijn om ook het SSL verkeer te kunnen controleren. ;)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline MacFreak

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 35
Re: Let's Encrypt certificaat
« Reactie #14 Gepost op: 10 januari 2017, 21:04:49 »
Daar zit wel iets in, maar vandaar dat dit soort apparaten ook van reputaties in verschillende gradaties op het internet uitgaat. Verkeer van en naar een bank site, zal vrijwel altijd encrypted doorgelaten worden, daar vind je het certificaat dan ook gewoon van op de PC. Tenzij deze bank een wat slechtere reputatie heeft.

Hier de site met reputaties van Cisco: http://www.senderbase.org/
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD Red 4TB


 

VERPLAATST: encrypt certificate

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 426
Laatste bericht 10 augustus 2021, 14:03:02
door Birdy
Photo Station met certificaat

Gestart door filip.vanbulckBoard Photo Station / Photos

Reacties: 24
Gelezen: 5258
Laatste bericht 25 maart 2020, 06:36:48
door filip.vanbulck
VPn server certificaat genereren gaat niet goed

Gestart door deeptrapBoard VPN Server

Reacties: 0
Gelezen: 1834
Laatste bericht 29 december 2013, 22:47:40
door deeptrap
certificaat fout bij inloggen DSM

Gestart door thevanvuBoard Synology DSM algemeen

Reacties: 15
Gelezen: 6159
Laatste bericht 14 februari 2017, 11:34:15
door Briolet
Probleem aanmaken SSL certificaat

Gestart door johanc69Board Synology DSM algemeen

Reacties: 4
Gelezen: 1638
Laatste bericht 22 maart 2018, 16:34:50
door Briolet