Quickconnect e certificato non valido

Rispondi
patanfrana
Utente
Utente
Messaggi: 23
Iscritto il: mercoledì 8 giugno 2011, 15:04

Quickconnect e certificato non valido

Messaggio da patanfrana » mercoledì 21 marzo 2018, 13:03

Salve

Premetto che non mi intendo molto di accessi remoti sicuri e certificati, quindi probabilmente sto chiedendo una banalità.

Fino a due giorni fa, per accedere al mio NAS da remoto utilizzavo il servizio QuickConnect di Synology e tutto filava una meraviglia.

All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.

A quel punto ho guardato online ed è comparsa una guida sul canale di YouTube di Synology per avere un certificato firmato valido e gratuito e come inserirlo.

Seguita la guida (che però richiede anche la creazione di un dominio presso il servizio DDNS di Synology), sono nuovamente riuscito ad accedere al mio NAS, impostando il nuovo certificato (di Let's Encrypt) come default.

Ora la mia domanda però è: perché mi ha smesso di funzionare QuickConnect?

Magari sbaglio, ma questa soluzione mi sembra che esponga di più il NAS sulla rete, visto che se uso il dominio sul mio browser con la porta del DSM, ci arrivo tranquillamente.

Sbaglio io? C'è un metodo per tornare indietro?

Avatar utente
fullspeed
Utente
Utente
Messaggi: 718
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed » mercoledì 21 marzo 2018, 13:20

patanfrana ha scritto:All'improvviso però tutti i browser hanno iniziato a segnalarmi che il certificato dell'indirizzo a cui puntavo (quindi dopo il redirect di QuickConnect) non era valido e che quindi il sito avrebbe potuto spacciarsi per qualcun altro.
hai verificato il testo completo del messaggio di errore, cioè perché il certificato era ritenuto non valido? il browser te lo dice, se clicchi nel posto giusto. magari era solo scaduto e ti bastava rigenerarlo con il dsm.
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: TP-LINK TL-SG108
  • NAS: DS215j DSM 5.2-5967 Update 6; 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 14.04.5 LTS & 16.04.3 LTS; Apple Mac Mini (late 2014, macOS Sierra); Microsoft Windows 8.1 & Windows 10
    Altro: WETEK Hub (LibreElec 8.2.4, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.4, Kodi 17.6 Krypton), Amazon Fire TV Stick (Kodi 17.6 Krypton), Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

patanfrana
Utente
Utente
Messaggi: 23
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana » mercoledì 21 marzo 2018, 19:08

Autorità non valida... :?

Avatar utente
fullspeed
Utente
Utente
Messaggi: 718
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed » mercoledì 21 marzo 2018, 20:34

Allora dipende dal browser. Probabilmente un recente aggiornamento ha introdotto meccanismi di controllo più severi. Però puoi sempre gestirli come eccezione.

(inviato utilizzando Tapatalk)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: TP-LINK TL-SG108
  • NAS: DS215j DSM 5.2-5967 Update 6; 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 14.04.5 LTS & 16.04.3 LTS; Apple Mac Mini (late 2014, macOS Sierra); Microsoft Windows 8.1 & Windows 10
    Altro: WETEK Hub (LibreElec 8.2.4, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.4, Kodi 17.6 Krypton), Amazon Fire TV Stick (Kodi 17.6 Krypton), Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

patanfrana
Utente
Utente
Messaggi: 23
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana » giovedì 22 marzo 2018, 15:33

L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.

A questo punto temo ci sia qualche problema con i certificati emessi da Synology...

Avatar utente
fullspeed
Utente
Utente
Messaggi: 718
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed » giovedì 22 marzo 2018, 15:59

patanfrana ha scritto:L'avevo pensato anche io, ma me lo fa con 3 browser su 3: Safari, Chrome e Firefox.
e te la senti di escludere che tutti e 3 questi browser abbiano implementato meccanismi di controllo più severi?

tieni presente che i certificati self-signed generati internamente dal DSM del NAS sono - a tutti gli effetti - emessi da un'autorità non valida.
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: TP-LINK TL-SG108
  • NAS: DS215j DSM 5.2-5967 Update 6; 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 14.04.5 LTS & 16.04.3 LTS; Apple Mac Mini (late 2014, macOS Sierra); Microsoft Windows 8.1 & Windows 10
    Altro: WETEK Hub (LibreElec 8.2.4, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.4, Kodi 17.6 Krypton), Amazon Fire TV Stick (Kodi 17.6 Krypton), Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

Avatar utente
burghy86
Moderatore
Moderatore
Messaggi: 8773
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Quickconnect e certificato non valido

Messaggio da burghy86 » giovedì 22 marzo 2018, 17:03

secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3

Avatar utente
fullspeed
Utente
Utente
Messaggi: 718
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Quickconnect e certificato non valido

Messaggio da fullspeed » giovedì 22 marzo 2018, 23:13

burghy86 ha scritto:secondo.me prima aveva abilitato http e basta ed ora va in https

Inviato dal mio SM-G930F utilizzando Tapatalk
ipotesi plausibile. però per andare in automatico signica che ha anche abilitato la redirezione http -> https.
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: TP-LINK TL-SG108
  • NAS: DS215j DSM 5.2-5967 Update 6; 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 14.04.5 LTS & 16.04.3 LTS; Apple Mac Mini (late 2014, macOS Sierra); Microsoft Windows 8.1 & Windows 10
    Altro: WETEK Hub (LibreElec 8.2.4, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.4, Kodi 17.6 Krypton), Amazon Fire TV Stick (Kodi 17.6 Krypton), Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

patanfrana
Utente
Utente
Messaggi: 23
Iscritto il: mercoledì 8 giugno 2011, 15:04

Re: Quickconnect e certificato non valido

Messaggio da patanfrana » venerdì 23 marzo 2018, 11:08

No, i parametri di sicurezza non li avevo cambiati (ora sì, secondo la guida di Synology, per implementare il nuovo certificato), quindi non capisco...

Comunque mi confermate che il metodo attuale rende il NAS più esposto, o è solo una mia paranoia?

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1681
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Quickconnect e certificato non valido

Messaggio da dMajo » venerdì 23 marzo 2018, 19:19

E' normale che il browser segnali un'autorità non valida .... lo fa da tempo.

Il certificato originale del nas è autoprodotto, ne vengono fatti 2 di cui uno e la CA che firma l'altro. Siccome la CA è privata (autoprodotta anch'essa) il browser si vede recapitare un certificato firmato (rilasciato) da un'autorità da lui non riconosciuta.

Il problema è irrilevante, in quanto continuando con il sito nonostante l'avviso del browser, il certificato viene comunque utilizzato per crittografare la comunicazione fra server e client.
Per uso privato/aziendale interno, se non si vuole ricevere l'avviso del browser è sufficiente esportare i certificati dal NAS e installare solo quello CA fra le autorità riconosciute attendibile dei propri dispositivi.
In ambito aziendale la cosa può essere automatizzata ed il certificato CA distribuito a tutti i client di dominio via GPO.

Se invece si è fornitore di servizi e non si vuole far ricevere l'avviso alla propria clientela allora occorre installare sul NAS in certificato rilasciato da un autorità pubblicamente riconosciuta .... come Let'sEncrypt ad esempio che è gratuito.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.8.8.2): Multiwan 2xVDSL(200M/30M,1+8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Rispondi

Torna a “VPN, QuickConnect e Accesso remoto in genere”