Synology Italia - Forum

Salve

Premetto che non mi intendo molto di accessi remoti sicuri e certificati, quindi probabilmente sto chiedendo una banalità.

Fino a due giorni fa, per accedere al mio NAS da remoto utilizzavo il servizio QuickConnect di Synology e tutto filava una meraviglia.

All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.

A quel punto ho guardato online ed è comparsa una guida sul canale di YouTube di Synology per avere un certificato firmato valido e gratuito e come inserirlo.

Seguita la guida (che però richiede anche la creazione di un dominio presso il servizio DDNS di Synology), sono nuovamente riuscito ad accedere al mio NAS, impostando il nuovo certificato (di Let's Encrypt) come default.

Ora la mia domanda però è: perché mi ha smesso di funzionare QuickConnect?

Magari sbaglio, ma questa soluzione mi sembra che esponga di più il NAS sulla rete, visto che se uso il dominio sul mio browser con la porta del DSM, ci arrivo tranquillamente.

Sbaglio io? C'è un metodo per tornare indietro?

patanfrana ha scritto:All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.

hai verificato il testo completo del messaggio di errore, cioè perché il certificato era ritenuto non valido? il browser te lo dice, se clicchi nel posto giusto. magari era solo scaduto e ti bastava rigenerarlo con il dsm.

Autorità non valida...

Allora dipende dal browser. Probabilmente un recente aggiornamento ha introdotto meccanismi di controllo più severi. Però puoi sempre gestirli come eccezione.

(inviato utilizzando Tapatalk)

L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.

A questo punto temo ci sia qualche problema con i certificati emessi da Synology...

patanfrana ha scritto:L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.

e te la senti di escludere che tutti e 3 questi browser abbiano implementato meccanismi di controllo più severi?

tieni presente che i certificati self-signed generati internamente dal DSM del NAS sono - a tutti gli effetti - emessi da un'autorità non valida.

secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk

burghy86 ha scritto:secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk

ipotesi plausibile. però per andare in automatico signica che ha anche abilitato la redirezione http -> https.

No, i parametri di sicurezza non li avevo cambiati (ora sì, secondo la guida di Synology, per implementare il nuovo certificato), quindi non capisco...

Comunque mi confermate che il metodo attuale rende il NAS più esposto, o è solo una mia paranoia?

E' normale che il browser segnali un'autorità non valida .... lo fa da tempo.

Il certificato originale del nas è autoprodotto, ne vengono fatti 2 di cui uno e la CA che firma l'altro. Siccome la CA è privata (autoprodotta anch'essa) il browser si vede recapitare un certificato firmato (rilasciato) da un'autorità da lui non riconosciuta.

Il problema è irrilevante, in quanto continuando con il sito nonostante l'avviso del browser, il certificato viene comunque utilizzato per crittografare la comunicazione fra server e client.
Per uso privato/aziendale interno, se non si vuole ricevere l'avviso del browser è sufficiente esportare i certificati dal NAS e installare solo quello CA fra le autorità riconosciute attendibile dei propri dispositivi.
In ambito aziendale la cosa può essere automatizzata ed il certificato CA distribuito a tutti i client di dominio via GPO.

Se invece si è fornitore di servizi e non si vuole far ricevere l'avviso alla propria clientela allora occorre installare sul NAS in certificato rilasciato da un autorità pubblicamente riconosciuta .... come Let'sEncrypt ad esempio che è gratuito.