Website niet beveiligd na activeren https synology

Liping32 schreef op zaterdag 5 oktober 2019 @ 23:07:
Ik wou een screenshot toevoegen maar kan alleen een url plaatsen, wat ik ook al niet snap. mjn excuus hiervoor.

Plaats dan alleen de URL, daar kunnen wij best op klikken, als die niet te obscure is.
Doe maar lekker niet. Nergens voor nodig

Je moet even op Advanced klikken in de foutmelding van de browser, zodat de daadwerkelijke reden ook getoond wordt. Waarschijnlijk benader je de NAS op IP-adres en daar kun je nooit een geldig SSL-certificaat voor krijgen, dus altijd self-signed. In dat geval kun je dus gewoon doorgaan. Je hebt dan wel TLS maar geen geldige ondertekening door een gerenommeerde instantie.

Als je wel een geldig domein hebt, kun je een Let's Encrypt-certificaat krijgen. Daarvoor moet de site (je NAS) wel op poort 443 (de standaard https-poort) bereikbaar zijn.

Maar vertel dus eens wat meer over wat je hebt, wat je hebt gedaan en wat de (fout-) melding is.

[Voor 2% gewijzigd door RobIII op 05-10-2019 23:22]

Ga je wel naar de HTTPS-pagina? Zo ja, dan heeft Synology waarschijnlijk een self-signed certificaat aangemaakt, wellicht dat je daarom de melding krijgt?

Room42 schreef op zaterdag 5 oktober 2019 @ 23:20:
Waarschijnlijk benader je de NAS op IP-adres en daar kun je nooit een geldig SSL-certificaat voor krijgen...

Sorry? Vroeger (voordat SNI bestond) kon je zelfs maar 1 SSL/TLS-certificaat per server hebben, dus zie niet waarom dat nu niet zou kunnen.

Als je wel een geldig domein hebt, kun je een Let's Encrypt-certificaat krijgen. Daarvoor moet de site (je NAS) wel op poort 443 (de standaard https-poort) bereikbaar zijn.

Is ook helemaal niet waar. De verificatie methodes van Let's Encrypt gebruiken namelijk geen HTTPS, daar vraag je immers het certificaat voor aan en zolang dat er niet is, kun je niet connecten via HTTPS. De ACME v1 challenge gaat via HTTP en een file dat het plaatst op de server, dat benaderbaar moet zijn via het web. Voor de ACME v2 challenge gaat het zelfs via DNS en is voorgaande niet eens nodig, zolang de keys maar goed ingesteld zijn. Over welke poort je vervolgens HTTPS serveert zal Let's Encrypt echt een zorg zijn.

[Voor 79% gewijzigd door CH4OS op 05-10-2019 23:32]

Room42 schreef op zaterdag 5 oktober 2019 @ 23:20:
[...]

Plaats dan alleen de URL, daar kunnen wij best op klikken, als die niet te obscure is.
[mbr]Doe maar lekker niet. Nergens voor nodig[/]

@Liping32 Ik bedoel inderdaad niet dat je een link naar je NAS stuurt, maar dat je je screenshot even op, bijvoorbeeld, https://imgur.com/upload plaatst en dan de link naar die screenshot hier in je post plakt.

CH4OS schreef op zaterdag 5 oktober 2019 @ 23:25:
[...]
Sorry? Vroeger (voordat SNI bestond) kon je maar 1 SSL/TLS-certificaat per server hebben, dus zie niet waarom dat nu niet zou kunnen.

Een SSL-certificaat met het IP-adres als domein ga je niet krijgen. Dat is wat ik daar schrijf. Dit moet een FQDN zijn.

[...]
Is ook helemaal niet waar. De verificatie methodes van Let's Encrypt gebruiken namelijk geen HTTPS, daar vraag je immers het certificaat voor aan. De ACME v1 challenge gaat via HTTP en een file dat het plaatst op de server, dat benaderbaar moet zijn via het web. Voor de ACME v2 challenge gaat het zelfs via DNS en is voorgaande niet eens nodig, zolang de keys maar goed ingesteld zijn.

Dit heb ik bewust enigszins vereenvoudigd gezien de vraagstelling (het technisch niveau daarvan) van TS.

[Voor 57% gewijzigd door Room42 op 05-10-2019 23:36]

Room42 schreef op zaterdag 5 oktober 2019 @ 23:27:
Dit heb ik bewust enigszins vereenvoudigd gezien de vraagstelling van TS.

Sorry, maar ook dan is het gewoon niet waar en onnodig. Zolang Let's Encrypt haar ding maar kan doen, hetzij via HTTP, hetzij via DNS. Daar hoeven zij niet voor te verbinden op poort 443 (en doen ze dan ook niet).

Je kan ook een HTTPS-pagina serveren achter poort 8443 bijvoorbeeld, geen probleem, alleen bij het opvragen dan even de poort opgeven, maar dat is inderdaad iets te technisch voor nu. Zolang het certificaat en de chain (die je aan de serverkant ook meegeeft aan de browser) in orde is, is er niets aan de hand.

En laten we het hierbij laten, voor het te verwarrend wordt voor @Liping32.

[Voor 8% gewijzigd door CH4OS op 05-10-2019 23:39]

CH4OS schreef op zaterdag 5 oktober 2019 @ 23:37:
[...]

En laten we het hierbij laten, voor het te verwarrend wordt voor @Liping32.

Dat is precies mijn punt. Voor al het andere dan het betreffende domein op poort 443 te hosten moet je dingen doen die niet plug-and-play zijn.

Liping32 schreef op zaterdag 5 oktober 2019 @ 23:07:
ik heb niet heel veel verstand van het instellen dus als jullie met links en plaatjes kunnen komen hoe ik dit probleem op kan lossen, dan zou ik erg blij mee zijn.

Had u het ook nog graag op een zilveren schaaltje gehad meneer?

We willen je best helpen, maar we verwachten hier op GoT wel dat je zélf ook een beetje moeite doet. Dus als je een tip krijgt en je snapt 't niet helemaal dan kun je doorvragen of even googlen naar wat meer informatie; je hebt immers nieuwe keywords. We zitten hier niet om handjes te houden

@Liping32 Op een IP-adres (zoals 192.168.1.25 of je publieke adres) zul je altijd een certificaat-melding krijgen, dus altijd 'niet beveiligd'. Als je naar een publieke site gaat, mag je die melding serieus nemen maar bij je eigen apparatuur, kun je dit negeren omdat je weet wat er gebeurt.

Mocht je het meer officieel willen krijgen, zul je er een domeinnaam aan moeten hangen en daar een certificaat op aanvragen (al dan niet via Let's Encrypt).

@Liping32 Hoe dat werkt bij Synology weet ik niet (ik zit met QNAP), dus zie daarvoor de handleiding.

Dat adres wat je noemt hoeven wij trouwens niet te weten(!) maar dat is geen domeinnaam, maar (zonder context) een e-mailadres.

[Voor 38% gewijzigd door Room42 op 06-10-2019 00:13]

Room42 schreef op zondag 6 oktober 2019 @ 00:12:
@Liping32 Hoe dat werkt bij Synology weet ik niet (ik zit met QNAP), dus zie daarvoor de handleiding.

Dat adres wat je noemt hoeven wij trouwens niet te weten(!) maar dat is geen domeinnaam, maar (zonder context) een e-mailadres.

Nope dat is geen e-mail adres maar een synology ddns adres. https://www.synology.com/...my_Synology_DDNS_hostname

Dit kan je vervolgens weer gebruiken icm quick connect https://www.synology.com/...r/connection_quickconnect

[Voor 26% gewijzigd door HKLM_ op 06-10-2019 08:45]

@Liping32 wat heeft je trouwens tegengehouden om 'niet beveiligd' aan te klikken en te lezen wat/waarom het fout gaat?

En dat is dan ook het domein dat je gebruikt?

Liping32 schreef op zondag 6 oktober 2019 @ 20:05:
[...] maar is het logisch dat het dan ongeldig is?

Ja want je zit hem nog steeds op IP-adres te benaderen, toch?

Liping32 schreef op zondag 6 oktober 2019 @ 20:23:
Ga ik doen. Bedankt voor alle hulp iedereen. Erg fijn dat iedereen ook zo snel reageert!.

Ik blijf desondanks nog wel benieuwd naar wat jou tegenhield om 'niet beveiligd' of whatever de tekst is, aan te klikken en te lezen wat het zoal kan zijn?

Liping32 schreef op zondag 6 oktober 2019 @ 20:36:
@CH4OS: ik ben denk ik niet technisch genoeg om het zo op te pakken. Ik google/youtube normaal naar al mijn antwoorden, maar heb toen geen oplossing gevonden.

Ik mag hopen dat ontwikkelaars van browsers de informatie wel dusdanig zouden schrijven, dat in principe iedereen het wel moet kunnen begrijpen. Ik zou een volgende keer het gewoon doen, als je er nog niet uit komt, kun je het altijd alsnog vragen, toch?

Maar zal voortaan onthouden om wat vaker op de tekst te klikken 😁

That's the spirit! Iedereen hier heeft het ook ergens van moeten leren.