SSL Verbindung geht immer noch nicht

  • Ja, Du brauchst zu Hause kein https, wenn Du ein geschlossenes Netzwerk hast. Theoretisch könnte einer der am Kabel/ Switch/ Router mithört das Passwort mitlesen.

    Meine Kinder und Freunde nutzen im WLAN eh den Gästezugang und meine Frau "löscht" lieber das Internet, als nach meinen Passworten zu suchen.

    Für die Erreichbarkeit meiner Box von außen gibt es OpenVPN. Da brauche ich mir nicht ständig den Kopf zu zerbrechen über Ports und Schlüssel oder ob die NGNIX richtig konfiguriert ist oder warum der Docker nicht aktualisiert.

    Besser/sicherer machen geht immer, aber die Lösung muss auch der Aufgabe gerecht werden. Wenn ich die Bedrohung anders beherrschen kann, ist das oft die bessere Lösung.

    M.

  • Was mich aber stört, das trotz des Zertifikates im Firefox eine Fehlermeldung auftaucht. Was mich wieder die Frage aufkommen lässt, wozu ein Zertifikat ob nun von Let´s Encrypt oder ein eigenes.


    Was OpenVPN angeht, könnte ich doch alle Ports schließen im Router oder? Ausser den vom Teamspeak, Plex, Nextcloud usw. oder?


    Anmerkung 2020-05-22 165249.jpg

    2 Mal editiert, zuletzt von Kimble ()

  • 1) Wie genau lautet denn de Fehlermeldung?
    2) Sind das Dienste die du von außen (also auf deinem NAS) oder von innen erreichen willst? Grundsätzlich sollte ein Router immer alle Ports von außen geschlossen haben, außer denen die du frei gibst. Dann allerdings sollte der Port nur verschlüsselte Kommunikation zulassen und die Dienste sicher sein.

  • Die Fehlermeldung ist jetzt oben drin. Ja genau diese Dienste wie Teamspeak, Nextcloud oder Plex möchte ich von aussen erreichen aber woher weis ich ob das Sicher ist?

  • ... erweitert...
    dann Ausnahme dauerhaft akzeptieren

    Wenn Du willst kannst Du dir die Daetails vorher noch ansehen

  • Genau das habe ich ja versucht aber ich habe das nirgends im FF gefunden. ich konnte es unter erweitern bestätigen aber bei einem Neustart von FF kommt es immer wieder.

  • Das ist soweit richtig, das gleiche kommt bei mir auch aber ich muss es jedes mal machen wenn ich den FF starte und ich mich über die lokale ip oder name.myqnapcloud.com oder DynDNS einlogge. Spielt keine Rolle.

  • Das Zertifikat ist auf einen FQDN ausgestellt.

    Rufe diesen auf dann kommt auch keine Warnung.


    Ansonsten baue eine eigene CA auf erstelle Serverzertifikate und trage FQDN und IP ein, dann kannst auch ohne Warnung auf die IP Seite Zugreifen.

  • Ein eigenes Zertifikat habe ich ja erstellt wo auch die ip bzw FQDN eingetragen ist aber das hat auch nicht geklappt. Ich habe es mit einem eigenen versucht, erstell mit OpenSSL, sogar mit einem Generator über selfsignedcertificate.com. Hat alles nicht geklappt oder ich habe was faslch gemacht. Und wenn es so war, weis ich nicht was. Wenn du dich da besser auskennst könntest du mir ja helen

  • Bei einer CA geht es um vertrauen.


    Dein Betriebssystem vertraut bestimmten Anbietern, über deren root Zertifikat.

    Wenn jetzt eine Seite ein dazu passendes Server Zertifikat vorzeigt, wird das über dieses root Zertifikat überprüft.

    Ist das ok, bekommst du oben das Schloss angezeigt, damit ist die Vertauenskette hergestellt.


    Ich habe mir also selber ein root Zertifikat erstellt und das auf meinen Clients importiert, als vertaueneswürdiges Stammzertifikat.

    Damit vertaue ich also meiner eigenen CA.


    So kann ich dann für Plex, für VPN usw. eigene Zertifikate erstellen und diese sind dann direkt vertrauenswürdig.

    So kann ich auf meinen Plex Server gesichert und ohne Warnung zugreifen.


    Da gibts aber gute Guides im Internet, wie man das aufbaut und was man dabei beachten muss.

    Es ist jedenfalls ein interessantes und auch komplex Thema.

  • Das ist immer schön zu lesen was andere machen und können. Besser wäre wenn sie das auch anderen mitteilen könnten, WIE? Aber stattdessen wird auf Guides im Internet hingewiesen die man irgendwo finden soll. Schreiben kann ich solch wunderbaren texte auch ;)


    Danke

  • Hallo Kimble,

    frage dich doch mal selbst, was du mit einer eigenen CA erreichen willst und ob du dir das zutraust, wenn du dich schon so sichtlich schwer damit tust, auch nur einem selbst erstellten Zertifikat das Vertrauen auszusprechen. Schritt für Schritt und so ... ;)


    Wenn dich eine eigene CA irgendwann mal reizt, weiß doch hier ohnehin niemand, mit welcher der Anleitungen du am besten klarkommst, die ja i.d.R. jeweils auf einer anderen Hardware basieren und verschiedene Vorkenntnisse als gegeben voraussetzen. Nicht zuletzt muss man für Vieles auch englisch können, die englischsprachige Nutzerbasis ist einfach deutlich größer und zudem ist das nunmal die Sprache der IT und wird weltweit verwendet - auch für Anleitungen von Russen, Indern, Spaniern und Deutschen ;-)


    Bist du deine Warnungen inzwischen eigentlich los? MathiasJ hat dir doch recht gut beschrieben, was zu tun ist ....


    MfG

    Digedag64