Certificaten in dsm6 beta 2

[Briolet]

De release notes hebben het over:

6 Certificate
° The integration of Let’s Encrypt helps provide your Synology NAS with secure connection easily and effortlessly.
° Multiple certificates are now supported to increase the flexibility for hosting several different hostnames.

Dus eigenlijk voegt Synology zelf geen encryptie toe maar gebruikt een net nieuwe dienst voor het uitgeven van certificaten.

Op security.nl staan ook topics over deze nieuwe certificaat-dienst.

[Birdy]

Heb niet zoveel verstand van Certificaten maar wel even gekeken, in /etc/ssl/certs barst het van de .pem files, zouden die dan gebruikt worden hier ?

[Briolet]

Daar stel je dat in. Je kunt zelfs alternatieve domeinnamen toevoegen. Alleen weigerde hij het asterix character om een wildcard domein aan te kunnen maken.

Ik zag ook dat je nu een heleboel certificaten kunt importeren c.q. aanmaken. (Dat zal die bende .pem files verklaren) Elk certificaat kun je dan aan een specifieke functie koppelen via de configuratie



Nu heb ik maar één certificaat, maar bij meerdere certificaten kun je in bovenstaand screenshot via een pull-down menu één van de geïnstalleerde certificaten aan een service koppelen.

[Briolet]

Alleen werkt het niet!

Ik had gisteren als test mijn ddns naam van synology gebruikt met nog een paar alternatieve domeinnamen, maar kreeg steeds de melding:



Ik heb het net weer geprobeerd met mijn reguliere domeinnaam, zonder opgave van een alternatieve naam. Ook dan krijg ik bovenstaande foutmelding. In de help staat ook nergens dat je eerst bij Let's Encrypt moet registreren.

Blokkeert mijn systeem per ongeluk iets, of werkt dit gewoon nog niet in de beta versie.

NB In de Nederlandse help file staat ergens een spelfout bij dit stuk. "denkt" moet "dekt" zijn. Dat heb ik al als ticket ID: #1108 doorgegeven.

[Stephan296]

Op de site kun je je niet registreren, ook niet als ik de uitleg op die site volg.
Daar staan gewoon command line opdrachten.
https://letsencrypt.org/howitworks/

[hansiedown]

https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/15
In de blog staat het volgende: note: you have to enable web station service and make sure let's encrypt server could access your NAS by 80 port.
Is volgens mij uitsluitend een hulpmiddel bedoelt om makkelijk certificaten aan te maken.

Zijn geen 'directe' certificaten

Our intermediate is signed by ISRG Root X1. However, since we are a very new certificate authority, ISRG Root X1 is not yet trusted in most browsers. In order to be broadly trusted right away, our intermediate is also cross-signed by another certificate authority, IdenTrust, whose root is already trusted in all major browsers. Specifically, IdenTrust has cross-signed our intermediate using their DST Root CA X3.

Zie: https://letsencrypt.org/certificates/

[Briolet]

In de blog staat het volgende: … make sure let's encrypt server could access your NAS by 80 port.

Dat was het. Zij gaan extern een verbinding opzetten naar de nas ter controle. Ik heb de beta echter niet op mijn normale nas staan en poort 80 wijst naar mijn reguliere nas.

Poort 80 even in de router aangepast naar de alternateve nas, poort 80 in de firewall open gezet en voilà:




Er was niets in te stellen, anders dan domeinnamen. Wel primitief omdat ik normaal ook firmanaam etc in het certificaat kan zetten. Ook geldigheidsduur of sleutellengte is niet in te stellen. Na het eerste dialoog begint de aanmaak direct.
Ik zal hier een bug melding van doen, dat deze info in de manual behoort te staan.

[Briolet]

Zijn geen 'directe' certificaten

Our intermediate is signed by ISRG Root X1. However, since we are a very new certificate authority, ISRG Root X1 is not yet trusted in most browsers.

Let's Encrypt is een net nieuwe beta site die eind vorig jaar gestart is. Informatie die een paar week oud is, kan al verouderd zijn.

In elk geval kent OSX El Capitan al het root certificaat. (Op de mac gebruiken Safari en Chrome deze systeem certificaten). Ze zijn dus direct geldig in de browser. Dit heb ik ook getest. In firefox is het certificaat ook direct geldig.
Dat was op de mac, maar ik verwacht dat dit ook bij de andere OS browsers het geval is.



De sleutellengte en het handtekeningalgoritme is ook goed. Het enige minpuntje is de geldigheid va slechts 3 maand. Maar het kan zijn dat Synology dit ingesteld heeft i.v.m. de beta fase.

Ik heb het certificaat nu aangemaakt met mijn domeinnaam en bij de alternatieve namen heb ik www.domeinnaam ingevuld. Dit werkt ook goed. En als ik het goed zag, mag ik ook mijn lokale IP invullen bij de alternatieve namn, zodat je de nas ook locaal zonder foutmeldingen kunt benaderen. (Niet getest echter)

[hansiedown]

Briolet,
Je plaatje laat precies zien dat het een crossed signed certificaat is (dat is wat ik bedoel te zeggen met 'geen direct certificaat')
Het begint bij DST Root CA X3, daarna door naar Lets encrypt en dan naar je Eigen domein.
Hier zijn dus in totaal 3 partijen bij betrokken.
DST <-> Lets Encrypt <-> jijzelf

Als ik kijk naar mijn gratis startSSL certificaten zie ik dat de CA en de intermediate identiek zijn.
Hier zijn dus 'slechts' 2 partijen bij betrokken.
startcom <-> jijzelf
Tis een slechts een detail en zal niks uitmaken voor de technische werking.

[Briolet]

Over de beperkte geldigheidsduur:
Op Let's Encrypt;s website staat dat certificate renual simpel gaat. Ze hebben zelfs een script die dat doet, met het advies dit dagelijks te draaien. (Lijkt me overdreven vaak). In elk geval verwacht is (hoop ik) dat Synology dit alles ingebouwd heeft in hun implementatie.

Dan nog iets over de limieten van aanvraag. Ik las iets over 5 aanvragen, dus wilde ik er niet te veel mee experimenteren. Nu vond ik net het volgende bij Let's Encrypt: rate-limits-for-lets-encrypt.

De limiet van 5 aanvragen per domein geldt per week. Dus als je iets te fanatiek aanvraagt, moet je gewoon een week wachten.

Per IP mag je wel 500 aanvragen per 3 uur doen. Dus bij testen even een andere url gebruiken die ook naar jouw IP leidt.

Wildcard certificaten worden, uit veiligheidsreden, bewust niet ondersteund. Daarvoor kun je tot 100 alternatieve namen in je certificaat opnemen. Dus gewoon alle subdomeinen expliciet benoemen.

[Stephan296]

Dus als ik je goed begrijp, kun je dus alle subdomeinen in 1 certificaat aanvragen ipv wildcard certificaat?

[Briolet]

Ja, subdomeinen en andere domeinen tot een totaal van 100 stuks.

Het dan wel handig zijn als Synology het invulveld iets groter maakt. Nu kun je dit beter in een tekstverwerker voorbereiden en dan met copy&paste invoegen.

Het moeten wel extern geldige domeinnamen zijn. Volgens de veiligheidsregels die 1 Oktober 2016 ingaan, mogen certificaten geen namen bevatten die alleen lokaal geldig zijn. Let's Encrypt houdt zich aan deze regel*.

Als ik "nas2.local" of "10.0.1.45" probeer toe te voegen als alternatieve naam, dan krijg ik de foutmelding uit mijn eerste post. (verwarrende melding in dit geval). Een lange lijst met al mijn camera subdomeinen gaat echter perfect. Maar ook gewoon andere domeinnamen, wat handig is als je via virtual hosts, meerdere websites op je nas hebt draaien.

Mijn externe IP heb ik nog niet geprobeerd, maar lijkt me ook zinloos. Extern zal iedereen de url boven een IP verkiezen.

* Edit: Link toegevoegd. Veel certificaat issuers stoppen al eerder met het uitgeven van dergelijke certificaten, omdat ze anders ongeldig zijn, voordat de termijn afgelopen is.

[Stephan296]

Scheid je ze met , of met ; ?

[Briolet]

Met een ;

Maar dat staat ook in de pop-up die je krijgt als je de muispointer boven de infobutton naast het veld houdt. 

[redneck eyeball]

Poort 80 staat open en aan.
Toegang via internet is geen probleem.

Maar een certificaat aanmaken via Let's Encrypt blijft zeggen dat 80 niet open zou staan.

Mijn domeinnaam is mijnnaam.synology.me
Zou zoiets niet kunnen omdat het via die synology.me gaat ?
Of is er iets anders waar ik rekening moet mee houden ?

Meer dan de naam van de website en mijn e-mail adres kan je niet invullen, dus veel ruimte voor fouten is er niet.