Quickconnect e certificato non valido

Rispondi
patanfrana
Utente
Utente
Messaggi: 25
Iscritto il: mercoledì 8 giugno 2011, 15:04

Quickconnect e certificato non valido

Messaggio da patanfrana »

Salve

Premetto che non mi intendo molto di accessi remoti sicuri e certificati, quindi probabilmente sto chiedendo una banalità.

Fino a due giorni fa, per accedere al mio NAS da remoto utilizzavo il servizio QuickConnect di Synology e tutto filava una meraviglia.

All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.

A quel punto ho guardato online ed è comparsa una guida sul canale di YouTube di Synology per avere un certificato firmato valido e gratuito e come inserirlo.

Seguita la guida (che però richiede anche la creazione di un dominio presso il servizio DDNS di Synology), sono nuovamente riuscito ad accedere al mio NAS, impostando il nuovo certificato (di Let's Encrypt) come default.

Ora la mia domanda però è: perché mi ha smesso di funzionare QuickConnect?

Magari sbaglio, ma questa soluzione mi sembra che esponga di più il NAS sulla rete, visto che se uso il dominio sul mio browser con la porta del DSM, ci arrivo tranquillamente.

Sbaglio io? C'è un metodo per tornare indietro?
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed »

patanfrana ha scritto:All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.
hai verificato il testo completo del messaggio di errore, cioè perché il certificato era ritenuto non valido? il browser te lo dice, se clicchi nel posto giusto. magari era solo scaduto e ti bastava rigenerarlo con il dsm.
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
patanfrana
Utente
Utente
Messaggi: 25
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana »

Autorità non valida... :?
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed »

Allora dipende dal browser. Probabilmente un recente aggiornamento ha introdotto meccanismi di controllo più severi. Però puoi sempre gestirli come eccezione.

(inviato utilizzando Tapatalk)
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
patanfrana
Utente
Utente
Messaggi: 25
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana »

L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.

A questo punto temo ci sia qualche problema con i certificati emessi da Synology...
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed »

patanfrana ha scritto:L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.
e te la senti di escludere che tutti e 3 questi browser abbiano implementato meccanismi di controllo più severi?

tieni presente che i certificati self-signed generati internamente dal DSM del NAS sono - a tutti gli effetti - emessi da un'autorità non valida.
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Quickconnect e certificato non valido

Messaggio da burghy86 »

secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed »

burghy86 ha scritto:secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk
ipotesi plausibile. però per andare in automatico signica che ha anche abilitato la redirezione http -> https.
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
patanfrana
Utente
Utente
Messaggi: 25
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana »

No, i parametri di sicurezza non li avevo cambiati (ora sì, secondo la guida di Synology, per implementare il nuovo certificato), quindi non capisco...

Comunque mi confermate che il metodo attuale rende il NAS più esposto, o è solo una mia paranoia?
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Quickconnect e certificato non valido

Messaggio da dMajo »

E' normale che il browser segnali un'autorità non valida .... lo fa da tempo.

Il certificato originale del nas è autoprodotto, ne vengono fatti 2 di cui uno e la CA che firma l'altro. Siccome la CA è privata (autoprodotta anch'essa) il browser si vede recapitare un certificato firmato (rilasciato) da un'autorità da lui non riconosciuta.

Il problema è irrilevante, in quanto continuando con il sito nonostante l'avviso del browser, il certificato viene comunque utilizzato per crittografare la comunicazione fra server e client.
Per uso privato/aziendale interno, se non si vuole ricevere l'avviso del browser è sufficiente esportare i certificati dal NAS e installare solo quello CA fra le autorità riconosciute attendibile dei propri dispositivi.
In ambito aziendale la cosa può essere automatizzata ed il certificato CA distribuito a tutti i client di dominio via GPO.

Se invece si è fornitore di servizi e non si vuole far ricevere l'avviso alla propria clientela allora occorre installare sul NAS in certificato rilasciato da un autorità pubblicamente riconosciuta .... come Let'sEncrypt ad esempio che è gratuito.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
Rispondi

Torna a “VPN, QuickConnect e Accesso remoto in genere”