Select Page

Wie können wir helfen?

Sie sind hier:
Drucken

Zertifikatswarnung: Mögliches Sicherheitsrisiko erkannt

Zum Schutz von Computer-Verbindungen, nutzt Synology, wie auch andere Webseitenbetreiber, das SSL-Protkoll. Damit soll das Abhören der Verbindung weigehend verhindert werden und die Verbindungspartner können somit verifizieren, dass Sie auch mit dem §richtigen” Partner verbinden sind.

Wer seine Synology mit einer SSL-Verbindung schützt und über das https Protokoll aufruft, bekommt ab und zu die Meldung “Verbindung ist nicht Privat” oder im Firefox “Warnmeldung: Mögliches Sicherheitsrisiko erkannt”

Diese Warnung wird vom Browser initiert und dem Benutzer präsentiert, wenn dier Name im Zertifikat (Antragsteller) von der “eingegebenen URL” abweicht.

Synology Zertifikatsfehler

Synology Zertifikatsfehler in Microsoft Edge

 

Synology Zertifikatsfehler

Synology Zertifikatsfehler im Firefox

Diese Warnmeldung über ein vermeintlich unsicheres Zertifikat ist grundsätzlich erst einmal nicht wirklich schlimm und hat auch keine Auswirkung über die eigentlich Schutzfunktion des SSL-Zertifikats. Aber Sie ist natürlich störend und eine Warnung über ein ungültiges oder ungeprüftes Zertifikat ist auch keine dauerhafte Lösung. Der Fehler liegt aber eher am Benutzer selbst, den er hat lediglich den falschen Eingang zu seinem Synology-System gewählt. Würde er den offizellen Eingang wählen, kommt auch diese Wanrung nicht.

Das steckt hinter dieser Warnmeldung “Diese Verbindung ist nicht privat
Mal ganz simpel gesprochen und ohne mal näher auf den eigentlich technischen Vorgang bei einer SSL-Verbindung genauer einzugehen.

Es liegt schlichtweg einfach an der URL.
Sobald wir eine https geschützte Webseite aufrufen, wird der Browser die Herkunft des Zertifikats ermitteln. Hat er den “Aussteller” ermittelt – in diesem Falle Let´s encrypt, fragt er diesen, ob das geladene Zertifikat noch gültig ist.(es könnte ja sein, dass mir jemand einfach nur das Zertifikat vorgaukelt)
Da wir hier im Augenblick über die IP-Adresse und dem https Protokoll auf die Synology zugreifen und im Zertifikat aber ein anderer Antragsteller angegeben ist, kann die Zertifizierungstelle keine positive Rückmeldung geben, den eigentlich passt das Zertifikat nicht zu dieser Webseite und für diese IP-Adresse wurde noch nie ein Zertifikat ausgegeben.

Schauen wir uns die Situation einmal an diesem Beispiel an:

Ich habe den DDNS Namen syn-training.synology.me eingerichtet und gleich ein Zertifikat für diese Domäne beantragt. Das Zertifikat wurde bereits als Standard definiert und der Zugriff über die URL: https://syn-training.synology.me erfolgt ohne eine lästige Warnmeldung:

Da mein DDNS-Name “syn-training.synology.me” mit dem beantragten Zertifikat übereinstimmt, kann die Zertifizierungsstelle eine positive Rückmeldung geben, das dieses Zertifikat zu dieser Webseite gehört und das es noch gültig ist. Anders ist das natürlich wenn ich die Synology über den Hostnamen “https://SYNOLOGY” oder über die IP-Adresse https://192.168.2.3 aufrufen würde, dann kann die Zertifizierungsstelle das Zertifikat nicht zu dieser Synology zuordnen und ich erhalte die Warnmeldung.

Was kann ich tun um die Warnmeldung zu umgehen?

  1. Tipp 1: Fügen Sie die URL mit der IP-Adresse zu den Ausnahmen hinzu

    SSL Verbindung zu Ausnahmeliste hinzufügen

    SSL Verbindung zu Ausnahmeliste hinzufügen

 

  • Tipp 2: Verzichten Sie im lokalen Netzwerk auf die SSL-Verbindung und verzichten Sie auf die automatische Umleitung von http zu https-Verbindungen
    >Systemsteuerung >Netzwerk >Erweitert
  • Tipp 3: Verbinden Sie sich von unterwegs aus nur mit Ihrer SSL-Verbindung, dessen Zertifikat auch zu Ihrem DDNS Namen passt
  • Tipp 4: Verzichten Sie auf die Portregeln für http im Router und erstellen Sie lediglich regeln für die gesicherte https-Verbindung
  • Tipp 5: Vewenden Sie alternativ den Quick Connect Dienst, diese Verbindung wird ebenfalls über ein von Synology beantragtes Zertifikat, abgesichert
  • Tipp 6: Beantragen Sie ein offizelles Zertifikat, im Idealfall gleich ein Wildcard-Zertifikat, bei Ihrem Internet-Provider oder einem Zertifikatsanbieter (ab 35€ p.a.)

 

links zum Thema (unbewertet)

Brauchen Sie Hilfe bei der Einbindung Ihres neuen Zertifikats ?

Synology Unterstützung gesucht?