Qnap oder Synology NAS, zugriff über Internet SSL / VPN Verbindung

[stinger2k]

Das Zertifikat sagt nur aus das die Quelle vertrauenswürdig ist nicht das es sicher ist...
Sicher wird es erst durch Nutzung von https:// (was mit SSL-verschlüsselt ist)

Also du weißt das du dir selbst vertrauen kannst deshalb kannst du auch ein selbst signiertes Zertifikat nutzen ohne das es unsicherer ist als mit einem Zertifikat einer offiziellen Stelle...

 

[David8161]

Ahhh okay. Würde ich mit einem selbst signierten Zertifikat auch auf den Nas kommen wenn das Zertifikat nicht im Browser hinzugefügt wurde? Wenn ja könnte ich mir doch das Geld sparen...
Und könnte man auch eine https Verbindung ohne Zertifikat machen? Wahrscheinlich nicht oder?

 

[stinger2k]

du kommst auch ohne Zertifikat und https auf das NAS, nur eben mit der Warnmeldung des Browsers das es keine vertrauenswerte Verbindung ist...

Edit: verschlüsselt nur wenn https genutzt wird, was das Vorhandensein eines Zertifikats impliziert, ob nun selbst erstellt oder nicht...

 

[David8161]

und wenn das selbst erstellte Zertifikat dem Browser nicht bekannt gemacht wurde kommt der selbe fehler?

 

[stinger2k]

genau so ist es...

PS: Das Qnap Zertifikat kommt von einer dem Browser bekannten Quelle und ist als vertrauenswürdig für diesen.
Dein selbst erstelltes ist es solange nicht, bis du es ihm bekannt machst und es somit als vertrauenswürdig einstufst...

 

[David8161]

Ahhh okay. Das würde ja dann eigentlich ausreichen. Ich dachte man würde dann gar nicht auf den Nas kommen. Diese Fehlermeldung ist ja dann eigentlich nicht schlimm.
Und noch eine relativ allgemeine Frage... So eine https Verbindung ist schon ziemlich sicher oder?

 

[stinger2k]

da jegl. Datenübertragung zum Server hin oder vom Server verschlüsselt wird (auch Passwortabfrage etc.) kann keiner den Netzverkehr mitschneiden und irgendwas in Klartext erkennen was bei http noch der Fall sein könnte.... deshalb hat man https erfunden...

Also ja...

PS: Schlimm wäre diese Meldung nur wenn du z.B. bei deinem Netbanking eine solche Warnung angezeigt bekommen würdest... (dann würde ich keine Passwörter, Benutzerkennungen, TAN´s oder Pin´s eingeben... bzw. auf Seiten wo persönliche Daten übermittelt werden könnten...

das Zertifikat dient eigentlich nur dazu das ein Benutzer erkennen kann ob diese Seite vielleicht nur nachgebaut wurde um deine gesendeten Daten abzugreifen oder das Zertifikat bzw. Server wirklich von dieser Url (Domain) kommt und somit vertrauenswürdig ist...
Das die Daten verschlüsselt sind stellt das https Protokoll klar...
" https://forum.ubuntuusers.de/topic/verschluesseltes-http-ohne-ssl-zertifikat/ "
" softed.de/fachthema/https.aspx "

 

[David8161]

Danke habe mir jetzt noch die beiden Artikel durchgelesen. Verstehe ich das richtig, dass wenn ich das selbst erstellte Zertifikat im Browser hinzufüge eigentlich sicher bin dass es auch mein Server ist? Wenn dann die Fehlermeldung kommt ist von Bruteforce oder wie das heißt auszugehen.
Wenn ich das Zertifikat im Browser nicht installiert habe ist es ungewiss ob es mein Server oder ein Bruteforce Angriff ist.
Stimmt das?

 

[stinger2k]

Mit deinem eigenen Zertifikat kannst du sicher sein, da ja sonst eine Warnung kommt wenn ein Zertifikat nicht zu deiner Domain gehört - was ja der Fall wäre wenn jemand in einem öffentlichem Wifi-Netzwerk einen manipulierten DNS Server reinstellen würde - du deine IP per DHCP beziehen würdest und der DNS anstatt auf "mein_name.myqnapcloud.com" auf eine andere IP zeigen würde als der die dein NAS hat. Dann könnte er die Anmeldungseite deines NAS nachgebaut haben und hoffen das du deine Anmeldungsdaten (Benutzer / Passwort) eingibst und diese mitloggen, sich dann wirklich auf dein NAS verbinden und mit deinen Daten anmelden und hätte dann Zugriff auf deine Daten...

Dafür exisitiert dieses Zertifikat welches von einer vertrauenswürdigen Stelle signiert wurde und Daten enthält auf wen das Zertifikat ausgestellt wurde zu welcher Domain es gehört wie lange es gültig ist, eine Seriennummer und einen SHA-256 Fingerabdruck sowie einen SHA1-Fingerabdruck.
Passen alle diese Daten zur aufgerufenen URL sieht dein Browser dies als vertrauenswürdig an, aber auch nur wenn er das Zertifikat und die signierende Stelle kennt.
Dafür kannst du ihm dein erstelltes Zertifikat bekannt machen (importieren). Sollte nun ein manipuliertes bzw. ein Zertifikat das jemand anderes erstellt hat, existieren wäre dies ein ungültiges Zertifikat, da dieses niemals diese Fingerabdrücke inkl. Seriennummer, ausstellende Stelle etc. aufweisen würde. Und würde die Weiterleitung an diese Seite unterbrechen und dir mittels dieser Warnmeldung anzeigen das Daten die du eingibst evtl. nicht sicher übertragen werden würden.

 

[David8161]

sorry, dass ich so durcheinander bin :///
wenn das eigene zertifikat nicht installiert ist kommt die selbe fehlermeldung wie wenn mich jemand auf eine andere seite die wie meine aussieht weiterleitet?

 

[stinger2k]

ohne Zertifikat könntest du dich nicht per https verbinden und somit die Frage obsolet, wenn du gar keine Warnung sehen willst und kein eigenes einspielen willst, kaufst du dir ein offizielles Zertifikat.
Wenn du z.B. von dem Schul-Pc einloggen möchtest und du keine eigenen Zertifikate einspielen kannst.
Ein SSL-Zertifikat das alle aktuellen Browser kennen bekommst du auch kostenlos bei https://www.startssl.com/.
Danach kannst du wie im Qnap Handbuch beschrieben ( http://docs.qnap.com/nas/4.0/Home/de/index.html?security.htm ) das Zertifikat in dein NAS einspielen, und die Sache wäre erledigt...

 

[David8161]

Okay vielen Dank!! Dann werde ich da mal noch vorbeischauen, wenn ich einen neuen Nas gekauft habe.
Riesen Dank an die ganzen super schnellen Antworten!