SSL Certificaat Synology NAS foutief

Ik heb een Synology DiskStation DS215j waar momenteel DSM 6.1.3-15152 Update 4 op draait. Deze heb ik via internet bereikbaar gemaakt op een eigen domein. Tevens heb ik binnen DSM een SSL certificaat van Let's Encrypt geïnstalleerd. Echter, zowel Firefox, Edge als IE11 zeggen dat de site onveilig is. Het vreemde is dat Chrome geen problemen heeft en de site wel als veilig markeert.

Ik heb ongetwijfeld ergens een instelling niet goed staan of het certificaat is onjuist, maar ik weet even niet waar ik het zoeken moet. Ik heb de NAS en het domein als volgt ingeregeld:

Ik heb in het DNS van het domein via het control panel van de hosting provider (TransIP) slechts de volgende twee records opgenomen:

• Een A-record welke verwijst naar mijn thuis-IP (waar de NAS staat).
• Een CNAME-record met als waarde @
  

In het DSM heb ik de volgende instellingen:

• Bij Configuratiescherm > Externe toegang > DDNS heb ik een serviceprovider (No-IP.com, waar ik een account aangemaakt heb) toegevoegd, welke mijn thuis-IP als extern IP heeft ingesteld
  
• Bij Configuratiescherm > Netwerk > DSM-instellingen heb ik de DSM-poorten voor HTTP (5000) en HTTPS (5001) ingesteld en tevens een vinkje gezet om automatisch HTTP naar HTTPS om te leiden
  
• Bij Configuratiescherm > Beveiliging > Certificaat heb ik een nieuw Let's Encrypt-certificaat aangemaakt welke verstrekt is aan mijn domein. Dit certificaat lijkt in orde (maar is dat wellicht niet?)
  

Volgens mij zou de boel zo in theorie moeten werken. Als ik naar http://www.... mijn domein ga, dan word ik zoals verwacht inderdaad doorgeleid naar https en de juiste poort. Ik krijg dus echter in Firefox, Edge en IE een melding dat het certificaat niet klopt:

quote: Foutmelding

Het hostnaam in het beveiligingscertificaat van de website verschilt van de website die u probeert te openen.
Foutcode: DLG_FLAGS_SEC_CERT_CN_INVALID

Hoe kan ik dit oplossen?

Mattie112 schreef op vrijdag 22 september 2017 @ 13:14:
Ik zou zeggen laat je NAS eens proben door ssllabs.com dan krijg je echt een hele zwik aan nuttige info wat er allemaal mis (kan) zijn.

Allicht haalt Chrome bijvoorbeeld wél intermediate certificates op maar doen de andere browsers dat niet?

edit:
Hier even een voorbeeldje van mijn vps waar alles in orde is:

https://www.ssllabs.com/s...0%3a0%3a0%3a0%3a38&latest

Bedankt voor de suggestie. Helaas krijg ik bij ssllabs de melding 'Assessment failed: Unable to connect to the server' als ik mijn domein daar invoer. Als ik specifiek poort 5001 (de HTTPS-poort van m'n NAS) aangeef, dan krijg ik de melding dat alleen poort 443 ondersteund wordt.

Ik heb al geprobeerd in DSM de HTTPS poort op 443 te zetten, maar dat wordt niet geaccepteerd met de melding 'Dit poortnummer is uitsluitend gereserveerd voor systeemgebruik. Voer een ander nummer in.'.

Cloud schreef op vrijdag 22 september 2017 @ 14:00:
[...]

Dat zal wellicht de oorzaak zijn? De meeste browsers zullen van die 443 uitgaan en misschien krijg je daardoor de warning? SSL mag op alle poorten maar de https:// prefix impliceert stiekem wel de 443 poort, zoals de http:// prefix poort 80 gebruikt. Afwijken mag altijd maar dan moet je dat wel in de url opgeven.

Verder, hangt je Synology rechtstreeks aan het modem zonder router daartussen? Want anders zou je in je router de inkomende poort 443 kunnen forwarden naar jouw interne poort 5001. Dan lijkt het voor de buitenwereld alsof je server op de reguliere https poort 443 draait en zeurt je Synology niet over het gebruik van een gereserveerde poort. En dan zou je in elk geval die controles bij ssllabs moeten kunnen doen.

Dat zou inderdaad goed kunnen. Vreemd dat een poortnummer in de URL ervoor kan zorgen dat de browser vindt dat de bezochte website anders is dan in het certificaat staat vermeld. Blijkbaar neemt Chrome de poortnummers niet mee in die check en vindt die de site wel veilig.

De NAS hangt rechtstreeks aan de ConnectBox van Ziggo. Ik zal vanavond eens kijken of ik daar poort 443 kan forwarden naar 5001. Eens zien of dat de oplossing biedt. Thanks!

Piebas schreef op vrijdag 22 september 2017 @ 14:22:
Heb je het let's encrypt certificaat aangemaakt met de hostnaam: www.domein.nl?

GlowMouse schreef op vrijdag 22 september 2017 @ 14:22:
De poort maakt niets uit voor een certificaat. De melding is erg duidelijk: "Het hostnaam in het beveiligingscertificaat van de website verschilt van de website die u probeert te openen." Vergelijk het domein in het certificaat maar eens met die van de site je probeert te bereiken en zoek de verschillen.

Het certificaat is aangemaakt met de hostname: domein.nl (dus zonder www). Verder zit er geen verschil in. Is de www. van cruciaal belang in dezen? Ik dacht dat het certificaat zelf de www. eraf haalde.

Piebas schreef op vrijdag 22 september 2017 @ 14:36:
Een certificaat moet de volledige hostmaam bevatten.
Dus bijv. nas.domein.nl
En dan moet je dus een a-record hebben wat verwijst van nas.domein.com naar het exerne ip.

Dit was de boosdoener inderdaad! In het certificaat moest per se www opgenomen worden. Nu werkt ie zoals verwacht en geven alle browsers de site als zijnde beveiligd weer.

Allemaal bedankt voor het meedenken!