Security Counseler: Ungültiges Zertifikat - Sicherheitsrisiko

    Ich habe kürzlich den QNAP Security Counseler installiert und bekomme beim Aufruf der Box über Firefox(latest) eine riesen

    Code
    "Warnung: Mögliches Sicherheitsrisiko erkannt"
Falls sie die Website besuchen können Angreifer versuchen Passwörter, E-Mails oder Kreditkartendaten stehlen.
--> IP-Adresse verwendet ein ungültiges Sicherheitszertifikat
--> dem Zertifikat wird nicht vertraut weil es vom Austeller selbst signiert wurde


    Daraufhin habe ich ein Ticket beim QNAP Support erstellt und heute die Antwort erhalten:

    Zusammenfassung: Alles nicht schlimm das ist normal (Text habe ich hier nicht angehängt da ich sonst wohl wieder im Konflikt mit Zitat Regeln komme).


    Meine Meinung:

    1. Für einem Security Counseler geht das garnicht

    2. Ich habe mich mit Security lange nicht mehr beschäftigt - aber soviel weiss ich noch von früher: Selbst signierte Zertifikate gehen gar nicht

    3. Ich habe ja schon früher in einem anderen Beitrag festgestellt das Taiwan eine andere Auffassung von "Privacy" hat als wir in Europa - Stichwort: DSGVO

    4. Das scheint sich auch auf Zertifikate zu übertragen


    Für mich ist das absolut nicht zu akzeptieren ich werde die Anwendung wieder de-installieren

    Dann solltest du dich dringend in das Thema Zertifikate einlesen.


    Dabei geht es um vertrauen.


    Ich vertraue z.B. mir selber und daher habe ich mir ein eigenes Root CA ausgestellt.

    Diese habe ich auf all meinen interne System als vertrauenswürdiges Stammzertifikat hinterlegt.


    Mit dem Root CA stelle ich mir dann selber Server Zertifikate für mein NAS System, Fritzbox usw. aus.


    Dann gehe ich auf mein NAS und ich habe, dank des Vertrauens in mein eigenes Zertifikat, ein schicke Schloss oben im Browser.


    Ein selbst ausgestelltes Zertifikat ist also nix schlimmes, wenn es von einem Gerät ausgestellt wurde, welches du besitzt und administrierst.

    Sie sind nur für dritte ein Problem, weil diese wie du der Meinung sind, diesen vertraut man nicht.

    Was ja auch vollkommen richtig ist.


    Man vertraut den eigenen und denen die z.B. von Digicert ausgestellt werden, da hier zuvor geprüft wurde, ob derjenige auch wirklich der Inhaber der Domain ist, ob die Firma existiert, die Telefonnummer im Impressung, die Mail dorthin auch wirklich abgerufen wird usw.


    Daher kostet so ein Zertifikat auch entsprechend viel Geld.


    Auf der anderen Seite gibt es Dienste, die prüfen nur ob du unter der Seite erreichbar bist und stellen dir dann eins aus. Letsencrypt ist so ein Dienst.


    Daraus folgt die folgende Vertrauens Einstufung:


    1. Eigenes Root CA

    2. Digicert und anderen Zertifizierungsstellen die entsprechend gründlich prüfen ob derjenige auch wirklich der Inhaber ist

    3. Platzhalter

    4. Letsencrypt, da hier wenigstens geprüft wird das der FQDN passt, jedoch ist völlig unklar wer und welche Interessen hier dahinter stecken.