Sehr langsame Freigabelinkverwaltung

    Hallo.


    Nach dem Update von 4.3.4 auf 4.3.6.0923 auf einer unserer TS-EC1279U-RP haben wir Probleme mit den Freigabelinks. Die Verwaltung ist extrem langsam, ebenso der Zugriff auf erstellte Links über den Browser. Wenn dann nach endloser Zeit der Inhalt des Ordners angezeigt wird, ist der Zugriff auf die Dateien darin normal schnell.


    Hat jemand ähnliches beobachtet bzw. einen Lösungsansatz dazu?


    Andreas


    Nachtrag:


    Betroffen scheinen nur Freigaben zu sein, die auf Unterordner des via QSync synchronisierten Ordners der betreffenden Nutzer verweisen. ??!!

    Ich muss meinen eigenen Beitrag nochmals aufgreifen.


    Das oben beschriebene Verhalten tritt nur nach Import eines SSL-Zertifikats der DFN-PKI auf. Ohne Zertifikat ist alles ganz normal schnell. Mit anderen Zertifikaten (Let's encrypt etc.) haben wir es noch nicht getestet. Aber eigentlich sollte es egal sein, von wem das Zertifikat ausgestellt wurde oder nicht?

    Ist vielleicht jemandem ähnliches Verhalten aufgefallen oder bekannt?


    Andreas

    Zitat von fbadm

    Aber eigentlich sollte es egal sein, von wem das Zertifikat ausgestellt wurde oder nicht?

    Wieso denn das?


    Wenn dem so wäre, könnte man gleich auf Zertifikate verzichten. Bei Zertifikaten geht es um Vertrauensthemen. Dieses Vertrauen kann gestuft sein. Es macht immer einen Unterschied, ob die Zertifikate von der eigenen Organisation, oder der Organisation des Erstellers oder einer dritten Partei ausgestellt oder beglaubigt wurde. Daher ist bei PKI relevant, ob auch das Vertrauen auf die entsprechende Root-CA ausgesprochen wurde. Hast Du schon geprüft, ob auf Deinem System der Root-CA der DFN-PKI vertraut wird?

    chef1


    Wie prüfe ich denn am besten die installierten root-CA-Zertifikate auf dem NAS? Wenn es da ein Problem geben sollte, müsste ich doch schon beim Zugriff mit dem Browser einen Fehler bekommen oder nicht? Kommt aber nicht! Das optionale Zwischenstellen-Zertifikat hatte ich mit installiert.


    Crazyhorse


    4K

    Das ist schon mal deutlich rechenintensiver als eins mit 2k.

    Kannst du dir das ggf. noch mal als 2k beschaffen und testen?

    Habe ich gemacht, gleiches Resultat. Hatte zwischenzeitlich den Tipp bekommen über die Servicebindung den Webserver auf der Schnittstelle zu deaktivieren, auf die der DNS-Name verweist auf den das Zertifikat ausgestellt wurde. Das scheint etwas zu bringen, zumindest sieht es auf den ersten Blick so aus und scheint nur für neu erstellte Freigaben zu gelten. Wer erklärt mir das?


    Im Anhang mal ein Screenshot nach dem unmittelbaren Erstellen eines Links. Normalerweise werden beim Klick auf <Schließen> dieses Info-Fenster und das dahinterliegende Teilen-Fenster geschlossen. Bei einigen Nutzern bliebt aber das dahinterliegende Fenster aktiv. Diese Nutzer klicken dann logischerweise auf <Speichern> und ab diesem Zeitpunkt tritt das Phänomen auf. Das Teilen-Fenster bleibt im Vordergrund, man muss irgendwann abbrechen. Die Links sind auch da, aber die Linkverwaltung ist extrem langsam und vor allem auch der Zugriff auf die per Mail verschickten Links dauert ewig. Das bleibt für alle ab diesem Zeitpunkt erstellten Links so. Unerklärlich !

    Zitat von fbadm

    Wie prüfe ich denn am besten die installierten root-CA-Zertifikate auf dem NAS?

    Kenne jetzt nicht Deine Art der Zertifikatsverwaltung und kenne auch nicht alle Möglichkeiten. Aber was willst Du an gespeicherten root-CA-Zertifikaten prüfen? Da fallen mir in erster Linie die Gültigkeitsdauer und die Sperrliste ein. Oder meintest Du noch eine andere Liste, vor welchen root-CA-Zertifikaten gewarnt wird, weil sie ihre Vertraulichkeit verloren haben nach Sicherheitsvorfällen?

    Zitat von fbadm

    Wenn es da ein Problem geben sollte, müsste ich doch schon beim Zugriff mit dem Browser einen Fehler bekommen oder nicht?

    Nein. Das hängt ab von der Art des Problems und der konkreten Konfiguration. Viele Webbrowser haben beispielsweise voreingestellt, die Sperrlisten/Widerrufslisten, nicht zu prüfen. Die Aktivierung dieser Prüfung verlängert die Prüfdauer und verringert bestimmte Risiken. Ist eine Abwägungsfrage. Ich bevorzuge die etwas erhöhte Sicherheit und nehme dafür verlängerte Prüfdauer in Kauf. Wenn zu einem Zertifikat mehrere, kurze Prüfketten existieren, geht dies schneller, als wenn nur eine einzige Prüfkette existiert, und die auch noch lange ist. Habe mich noch nie im Tunen derartiger Prüfungen versucht. Von der Idee her, würde mir eine Verkürzung der Prüfkette einfallen, und würde ich versuchen, durch Speicherung eines weiteren entsprechenden Zertifikats aus der Prüfkette. Eine andere Tuningmaßnahme könnte das Löschen nicht benötigter und nicht erwünschter, vorinstallierter Zertifikate im Zertifikatespeicher sein.

    Zitat von fbadm

    Das optionale Zwischenstellen-Zertifikat hatte ich mit installiert.

    Sowas ginge in die Richtung, die ich meinte, mit Verkürzung der Prüfkette.