Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Briolet op 23 maart 2021, 10:04:27
-
Ik kreeg vanochtend meerdere mailjes over het blokkeren van dezelfde site:
De verbinding van DS415-port-A met r3.o.lencr[.]org is geblokkeerd om veiligheidsredenen(Phishing).
Verzonden door uw Synology Router- SynologyRouter
Laat dat nu net de url zijn die in het Let's Encrypt certificaat staat om de geldigheid van het certificaat te controleren via OCSP (https://community.letsencrypt.org/t/ocsp-uri-r3-o-lencr-org/145920/2).
[attachimg=1]
Hebben andere hier ook last van? Lijkt me een kwalijke zaak dat de router juist de controle van een certificaat blokkeert. Nu is de default instelling op de mac om toch door te gaan als de controle faalt, maar als de controle op strikt gezet zou zijn, kun je een site niet eens bezoeken als het systeem niet kan controleren of een certificaat voor zijn vervaldatum ingetrokken is.
-
Ik heb hem nu op de uitzonderingslijst gezet. Maar ik vind het een zeer kwalijke zaak dat juist dit domein geblokkeerd wordt.
-
Ik heb er maar een ticket voor aangemaakt. Maar blijkbaar is het erg druk met tickets, want ik kreeg als geautomatiseerd antwoord: "Systeem bezet. De ticket wordt binnenkort verzonden."
-
Zelf gebruik ik geen Lets'Encript certificaat, maar van een niet gratis commerciƫle uitgever.
Heb een dergelijke blokkering daarmee nooit eerder gehad.
-
Ook dit forum gebruikt een Let's Encrypt certificaat. (En heel veel andere sites als je browsed)
Het probleem is dat de controleservers vaak overbelast zijn en het niet kunnen opvragen van de controle dan een hele website blokkeert. Daarom wordt het vaak geaccepteerd dat een controle niet lukt. In elk geval is dit de norm bij MacOS, maar ik dacht bij de meeste OS-en. Alleen als je een systeem maximaal wilt beveiligen, moet je instellen dat een website geblokkeerd moet worden als je de controleserver niet kunt bereiken.
Er bestaan twee protocollen om te kijken of een certificaat voortijdig ingetrokken is. OCSP (https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) en CRL (https://en.wikipedia.org/wiki/Certificate_revocation_list) (Beiden worden door Let's Encrypt ondersteund. )
Ik lees op de Wikepedia dat eigenlijk alle browsers OCSP ondersteunen, behalve Chrome. Dus bij die browser zal die url ook nooit opgevraagd worden.
Ter info. Let's Encrypt heeft een speciale webpagina met een 'revoked' certificaat om je eigen browser te testen. "Revoked site (https://revoked-isrgrootx1.letsencrypt.org)"
How Do Browsers Handle Revoked SSL/TLS Certificates? (https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/)
-
Zo'n "revoke certicate" (ingetrokken certificaat), geeft hier in ieder geval een correcte melding.
Beveiligde verbinding mislukt
Fout tijdens het verbinden met revoked-isrgrootx1.letsencrypt.org. Certificaat van peer is ingetrokken.
Foutcode: SEC_ERROR_REVOKED_CERTIFICATE
-
Ik wordt zo ziek van de ondeskundigheid van het Support van Synology. Ze lezen het ticket gewoon nooit. Ik krijg net als antwoord:
Thank you for contacting the Synology support team.
To investigate this blockage, and consult it with our development team, I need to connect to your router via remote access.
I sent you a previously email to obtain your credentials and access your router. Please, can you fill out the form and then come back to me?
En dat terwijl die url gewoon in hun eigen database staat. Daar hebben ze geen remote toegang voor nodig. Wordt weer een langdurige zitting, want ik had al aangegeven dat het probleem voor mij opgelost was door deze site te whitelisten.
-
::) :'(
-
Tja, je mag hopen dat je een 1e lijn support medewerker waar je contact mee hebt, iets meer weet van de achterliggende problematiek?
En op juiste wijze "vertaalt" naar de achterliggende "engineers" die er meer van weten, maar waar je nooit rechtstreeks contact mee hebt.
Met veel geduld en extra berichten over en weer, kom je hopelijk verder.... :o :geek:
(Snap je nu hoeveel energie het heeft gekost om de Synology firmware geschikt te maken voor "KPN IPTV routed mode" (https://www.synology-forum.nl/synology-router/synology-router-set-up-met-iptv-routed-mode-kpn-xs4all-oud-telfort/) ?
En dan gaat het alsnog verkeerd met het vergeten van gedeelten programmacode (https://www.synology-forum.nl/synology-router/firmware-update-srm-1-2-4-8081-*2*-(patch)/msg293960/#msg293960) in te sluiten in officieel uitgegeven updates).
-
@Briolet heb het probleem ook vanaf vanmiddag 17 uur.
aanvulling: na 9 meldingen in 1 1/2 uur ook maar op de uitzonderingslijst gezet.
-
Synology kopieert die lijsten ook gewoon maar van externe sites en moet hopen dat zij de lijsten zorgvuldig samenstellen. In sommige lijsten kun je zelf abuse meldingen opgeven. Maar als daar geen goede controle op is, kunnen hackers gewoon domeinen opgeven die juist tegen misbruik moeten beschermen.
Zoiets lijkt hier ook gebeurd te zijn. Voor Synology is het nu gewoon een kwestie om deze ene url uit de lijst te schrappen. Op langere termijn moeten ze zelf een soort whitelist aanleggen om te voorkomen dat het hackers lukt om dergelijke kritische domeinen in hun blokkeringssysteem te krijgen.
Let's Encrypt is laagdrempelig en wordt ook veel door hackers gebruikt voor hun nepsites. Een eenmaal verkregen certificaat is 3 maand geldig, Door het revoke proces te dwarsbomen, kunnen ze dan zo'n certificaat de hele 3 maand blijven gebruiken. Mits ze niet via andere methoden uit de lucht gehaald worden.
-
Ik zag net dat er op het Engelse forum (https://community.synology.com/enu/forum/2/post/142134?reply=447706) ook over geklaagd wordt.
Was te verwachten omdat iedereen wel een site met zo'n certificaat bezoekt. Eigenlijk verbaast het me dat er niet veel meer last van hebben.
-
Eigenlijk verbaast het me dat er niet veel meer last van hebben.
Niet iedereen gebruikt Safe Access, denk ik.
-
Morgen toch maar weer teruggaan naar sslcertificaten.nl (xolphin)
-
Dat zal geen effect hebben. Het gaat hier niet over jouw certificaat, maar die van de sites die je bezoekt.
-
Eigenlijk verbaast het me dat er niet veel meer last van hebben.
Niet iedereen gebruikt Safe Access, denk ik.
Ik heb het standaard wel aanstaan, maar ben nog geen vreemde meldingen tegen gekomen.
Het kan natuurlijk ook zijn dat ik heel andere websites bezoek dan jullie,
en eigenlijk nog geen geen websites met Let's Encrypt certificaten ben tegen gekomen?
-
Ik denk dat deze foute url sinds een paar dagen weer uit de lijst van Phishing sites gehaald is omdat op het Engelse forum gemeld wordt dat de waarschuwingen plots weer verdwenen zijn.
Synology beweerd dat zij er niets aan kunnen doen omdat het externe lijsten zijn. Maar dat klopt niet helemaal. Ik heb een update van de lijsten gedaan, terwijl Wireshark meekeek. Hij legt verbinding met "srmdownload.synology.com" en de hele update verloopt via dat domein.
Het zal zeker zo zijn dat synology die lijsten zelf niet samenstelt, maar omdat de download via hun domein loopt, kunnen ze er zelf aanpassingen aan doen voordat de lijst naar de router gaat. Dat is ook precies wat ik met het adblokker-script voor de dns server op mijn nas doe. Ook daar worden publieke lijsten opgehaald, maar er gaat wel een whitelist filtering overheen voordat hij naar de dns server gaat.
-
Het klopt dat de waarschuwingen sinds enkele dagen weer verdwenen zijn.
Toch wel enigszins kwalijk dat Synology zonder enige vorm van controle de lijsten doorstuurt.
-
Ik kan me voorstellen dat ze niet elk domein kunnen controleren die aan zo'n lijst toegevoegd wordt. Wat dat betreft moeten ze ook de samensteller kunnen vertrouwen.
Alleen heeft het me hogelijk verbaasd dat ze bij mijn melding niet direct gereageerd hebben om die url uit de lijst te krijgen. Als ze dat al niet zelf kunnen, kunnen ze het doorspelen naar de samensteller van die lijst. In plaats daarvan wilden ze in mijn router kijken. (ik snap nog steeds niet wat ze daar aan zouden hebben)
-
Buiten Synology zullen allerlei andere leveranciers van netwerk controle apparatuur van dezelfde lijst gebruik maken.
Verwacht dat dergelijke meldingen dus ook via andere bronnen bij de samenstellers van die lijst terecht komen.
Om dan individueel als leverancier nog apart een whitelist te maken is feitelijk dubbelop,
en ondermijnt dan uiteindelijk weer de originele lijst. Dat Synology niet zelf aan die lijst gaat morrelen kan ik dus wel begrijpen.
Dat jij als melding op het support ticket van een "1e lijns" medewerker, dan een suggestie krijgt om in de router te kunnen laten kijken.
Tja. de "echte" ontwikkelaars en mensen die een goed antwoord zouden kunnen geven, zitten wat "dieper weg" in de organisatie.
Maar denk dat uiteindelijk vanuit het Engelse forum door Synology zeker wel signalen naar de originele samensteller van de lijst zijn gegaan?