onveilige verbinding

[zjwaemke]

hallo

ik krijg altijd deze melding te zien met het opstarten en benaderen van mijn NAS (zowel via pc als smartphone).
Weet iemand wat hiertegen te doen is??
bedankt alvast

[Birdy]

Of poort 5000 gebruiken of met een certificaat werken.

[Briolet]

Of een andere browser gebruiken die hier beter mee omgaat.

[TopGear_1542]

Volgens mij is het niet meer mogelijk om een certificaat te krijgen voor een intern adres. Dus denk dat een andere browser danwel http:// overblijft. Dit laatste uiteraard niet als je de NAS ook extern wilt benaderen.

[Lampje]

je maakt zeker gebruik van een zelf ondertekend certificaat. Dan krijg je ook dit zoort meldingen.
Omdat het niet uitgegeven is door een officieele instantie. Moet je die controle zelf even doen. En als het klopt, dan als vertouwd aanmerken.

[zjwaemke]

sorry voor mijn late reactie....

ik begrijp het eigenlijk niet helemaal.
Hoe kan je gebruik maken van een officieel certificaat? Kun je dit downloaden? Gaat het om een certificaat in mijn IE / Google Chrome browser? Of ligt dit aan Windows

[Birdy]

Als je je NAS alleen thuis gebruikt dus, niet vanaf internet, dan kan je beter poort 5000 (http) i.p.v. 5001 (https), dan kan je het certificaat verder vergeten.

[zjwaemke]

ik gebruik de nas eigenlijk alleen maar thuis. Maar indien ik deze ook extern wil kunnen benaderen (bijvoorbeeld documenten benaderen/fotos/video's) loop ik dan een beveiligingsrisico?

[Plerry]

HTTPS geeft je altijd een versleutelde (encrypted) verbinding (beveiligd tegen meelezen),
ongeacht of er een kloppend certificaat is of niet.
Dat geldt dus ook voor een verbinding van buitenaf.

Een certificaat dient ter verificatie dat de https-server echt is wie hij beweert te zijn.
Belangrijk voor bijv. een bank, waar anderen mogelijk een nep-site van de bank willen draaien
om zo gegevens te onderscheppen of betalingen naar andere rekeningen te sturen.

Synology verschaft een algemeen certificaat.
Uiteindelijk konden zij niet weten dat jij 192.168.1.133 als IP-adres voor je NAS ging gebruiken ...   
Bovendien staat het de rest van de wereld vrij diezelfde keuze te maken.
Vandaar dat dat algemene certificaat nooit "klopt".

Voor prive gebruik is zo'n certificaat normaal niet belangrijk; als je te zien krijgt wat je verwacht te zien
(je NAS met wat daarop staat) mag je aannemen dat je met je eigen NAS verbonden bent.
Waarom zou een ander dat willen "faken"?
 
Binnen je eigen netwerk is encryptie meestal niet belangrijk.
Vandaar Birdy's advies om daar gewoon HTTP te gebruiken (voor DSM op port 5000).

Van buitenaf is het aan te raden HTTPS te gebruiken (voor DSM op poort 5001) en kan je de certificaat-melding te negeren.
Als alternatief kan je van buitenaf een VPN verbinding naar je thuisnetwerk opzetten.
Dat kan je doen in je NAS, maar soms ook in je router.
Omdat dan al het dataverkeer van/naar je thuisnetwerk al middels je VPN versleuteld is,
kan je dan veilig een gewone HTTP verbinding naar je NAS opzetten, en vermijd je de "verontrustende"
HTTPS meldingen dat het certificaat niet klopt of de site niet vertrouwd zou kunnen worden.

[Briolet]

Plerry heeft alles al goed uitgelegd. Als je een synology ddns naam gebruikt, kun je ook in de DSM settings onder beveiliging een certificaat aanmaken waarin je eigen ddns naam staat. Dat zal in eerste instantie dezelfde waarschuwing geven, totdat je je het certificaat in je OS of browser geïmporteerd hebt.

In theorie loop je een klein risico met het standaard certificaat omdat iedereen die de 'Private key" heeft je verkeer kan ontsleutelen. Standaard staat er volgens mij op elke nas dezelfde private key*. Als je via de settings een nieuw certificaat aanmaakt, wordt er een random private key gegenereerd.

*: Ik weet het niet zeker want voor hetzelfde geld kan dsm bij de installatie van dsm een uniek certificaat genereren. Verwachten doe ik dat eigenlijk niet, maar het zou wel interessant zijn om het zeker te weten. Wie?

[Pippin]

De ca.crt:

Code: [Selecteer]

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
De ca.key:

Code: [Selecteer]

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
De server.crt:

Code: [Selecteer]

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
De server.key:

Code: [Selecteer]

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDojMic6nOtqdCm33JyebsqhnBpXk5tUIMZ49mX2JroXs6E6oUa
qIMiKEM4IzEb3Hscu0ibFAzx44iwxognXjHwkSUr3yRrR9Ck9soq+osx28LxlPjW
rNT/9IaBJl6I0p5j2+B6RzXpPbNtrmepHE704W+BBavnmc95gKqVcfFh7QIDAQAB
AoGBANk11pQqsU3+lbOodl/SsC3yUME6owqb7ziZiD66xUZSd5fS7eyOhZ27+b1P
sakScbPOguzG96hgHObxKW+MHhuLksGf0gILE56sDRIhb9kpluaIhkBVyUfgCFp7
JnkrGaxxHFY5OLYmTQca/cs9b2pMjx2OTAckdYkfl+H8EbuJAkEA+46GKN0dJFoZ
wY8ws84Xs7p9kwTNCub12fbujF36dzDV6VJa2z+A4FdOvz1XBfrKQq1V/S3oVL7U
5TDs+70HywJBAOyoUM4+Q6MVer2Ki2h2e0hcKRnlewH8GdbpOa0xnDW6OMOjPrBG
zlgLMTn4Vfis4JKodvkpmxDafLj6xJ+1VicCQBc45wWqs+ABOVN3BoXyxple4+zI
iq0w+Q0wEIGAw3hxV638XkrTJ/CN3sUkwn3Y0wcovUFsFYCNRVYLGDV9E9UCQHBO
rBJEEBsLrXTXk7LeT0EWo1arxYU6mxSXF4zudyA0II4PIUfMQk4b+Z92D250tBpF
Iji6GuGTng62yqq0Bo8CQElSyRkF33aKyiADXoHnda2cy3VLfuQ2bd8ZF/UC5i5D
SEtwykm3uAXrKHeWJvIvABqCrQPN7fBl/kfS4m2s+kI=
-----END RSA PRIVATE KEY-----
Dit zijn de originelen.

[Briolet]

Leuk, dan alleen nog vergelijken met de versie van een andere nas want ik heb geen originele referentie meer.

Het bovenstaande root certificaat (CA) is uitgegeven op: donderdag 21 mei 2015 09:16:19 Midden-Europese zomertijd

En het intermediate certificaat (server) is uitgegeven op: donderdag 21 mei 2015 09:16:25 Midden-Europese zomertijd

Dat is dus 6 seconden later. Ze zijn dus wel in één keer na elkaar aangemaakt. Beide gebruiken ze het SHA-256 handtekening algiritme dan Synology sinds kort gebruikt.

[Pippin]

Als je via de settings een nieuw certificaat aanmaakt, wordt er een random private key gegenereerd.

Niet helemaal, als ik het script goed interpreteer maar ben daar niet zo goed in thuis.
Er wordt een serienummer en het MAC-adres van eth0 gebruikt.

In /usr/syno/etc/ssl staat mkcert.sh waar bovenstaande twee worden afgevraagt:

Code: [Selecteer]

MkcertSerial="/usr/syno/etc/ssl/.mkcert.serial"
if [ ! -f $MkcertSerial ]; then
# get MAC address
serial=$(ifconfig eth0 | grep HWaddr | awk '{print $5}' | awk -F: "{print `date +%s`\$5\$6}")
if [ $((`expr length $serial` % 2)) -eq 1 ]; then
serial="${serial}1"
fi
echo $serial > $MkcertSerial
Serienummer vindt je hier: /usr/syno/etc/ssl/.mkcert.serial

Dat betekent dan, denk ik, dat als je het voor een tweede keer doet dat je hetzelfde certificaat krijgt, niet random lijkt het.

[Briolet]

Leerzaam. 

Voor het genereren van een key, heb je geen seed nodig. Dat gaat met een commando als b.v.:

Code: [Selecteer]

openssl genrsa -out private.key 2048OpenSSL zorgt dan voor een goede seed zodat de key elke keer uniek is.

Om de certificaten uit elkaar te houden kun je ook een serienummer toevoegen en een versienummer. Bij jouw root certificaat is het serienummer: 00 86 C0 CA 24 64 E5 36 80 en het versienummer 3.

Elke keer als je het certificaat vernieuwd moet je dan het serienummer gelijk houden en het versienummer ophogen. Dat nummer is echter te lang om een mac adres te kunnen zijn. Bij mijn zelfgemaakte certificaten die op de mac aangemaakt zijn met OpenSSL, is het serienummer ook steeds in dit formaat. (b.v. mijn huidige nr: 00 89 3A 0D 5F C2 CD 69 B6). Tenzij ik de config file aanpas en er een zelfgecreëerd serienummer aan toevoeg.

Echter, als ze er elke keer een ander serienummer in stoppen, op basis van de hardware in de nas, dan is de kans groot dat er ook echt elke keer een uniek certificaat aangemaakt wordt bij installatie van dsm.

PS: nu merk ik ook weer hoe snel deze complexe materie weer uit je brein wegvloeit. Het is al weer 6 maand geleden dat ik hier ingedoken was.