Hallo zusammen,

ich habe zu Hause und beruflich mehrere Synology NAS.
Seit dem vorletzten Update habe ich folgendes Problem:

Wenn ich aus Safari auf das NAS (über https://... gehe, meckert er mir immer folgendes an:

Diese Verbindung ist nicht privat
Diese Web-Seite gibt sich möglicherweise als "....." aus, um deine persönlichen und finanziellen Informationen zu stehlen. Schließe diese Seite.

Man kann dann zwar noch Details einblenden und auch auf ein Feld klicken, dass man die Seite trotzdem öffnen will, die Seite wird aber nicht geöffnet.

Ich habe das bei mehreren NAS und zwar sowohl im Netzwerk bei mir zu Hause als auch im Netzwerk im Büro, die völlig anders aufgebaut sind.

Mit Firefox klappt alles.

Gibt es dafür eine Erklärung/Lösung?

Viele Grüße

MacMichael

Hast Du offizielle Zertifikate installiert? Oder zumindest welche, die Du mit Deiner eigenen CA signiert hast, deren Root-Zertifikat auf Deinen Rechnern installiert ist?

Wenn nein, ist dieses Verhalten vollkommen normal und korrekt. Und wenn Firefox bei einem selbstsignierten Zertifikat auf der Synology nicht meckert, dann hast Du das von ihr gelieferte Zertifikat entweder aktiv für vertrauenswürdig erklärt, oder Dein Firefox ist kaputt.

Einen Eintrag in der Ausnahmeliste kannst Du auf der Fehlerseite von Safari vornehmen, indem Du auf 'diese Webseite besuchen' klickst und die Eintragung mit Deinem Paßwort bestätigst. Und das solltest Du nur dann machen, wenn Du Dir wirklich absolut sicher bist, daß Du mit dem richtigen System verbunden bist, insbesondere wenn es Dir beim Besuch "richtiger" Webseiten passiert.

Ich habe aktiv keine Zertifikate installiert.

Das Ganze hat auch einige Jahre ohne diese Probleme funktioniert und ich habe an den Zertifikaten nichts geändert.

Es tritt seit dem letzten Synology-Update auf, was bei mir aber auch mit dem Update auf High Sierra zusammenfiel.

Ich bin ganz sicher mit den richtigen IPs verbunden. Bei Firefox habe ich das auch bestätigt.

Bei Safari klappt das aber mit der Bestätigung nicht, ich gebe alles brav ein aber er landet dann nicht auf dem NAS, sondern wieder nur auf der Fehlermeldung.

TimeMachine auf beide NAS funktioniert.

Das finde ich schon alles sehr seltsam.

OK, dann ist die Meldung korrekt und sollte immer kommen, es sei denn, Du verbindest Dich mit der Synology über HTTP statt HTTPS.

Für eine HTTPS-Verbindung ist immer ein Zertifikat erforderlich. Dieses enthält unter anderem den öffentlichen Schlüssel zu dem privaten Schlüssel auf der Synology, ohne den eine Verschlüsselung nicht möglich ist. Da Du keine Zertifikate installiert hast, nutzt die Synology ein sogenanntes selbstsigniertes Zertifikat, das, wie schon der Name andeutet, von keiner der den Browsern bekannten und als vertrauenswürdig eingestuften CAs signiert wurde (wie auch?).

Jeder Browser, der mit einem solchen Zertifikat konfrontiert wird, meldet diesen Fehler in mehr oder weniger nachdrücklicher Form - Safari hat da mit Version 11 eine Schippe draufgelegt. Das kann man umgehen, indem man das Zertifikat manuell akzeptiert, was meist keine gute Idee ist (im vorliegenden Fall aber eine akzeptable Lösung).

Die einzige Lösung, wie man die Warnung theoretisch serverseitig umgehen kann, ist einen anonymen Cipher zu verwenden, also eine Verschlüsselung ohne Authentifizierung. In dem Fall wird nur der öffentliche Schlüssel aus dem Zertifikat gelesen und der sonstige Inhalt (Hostname, IP, Signatur etc.) ignoriert. Das habe ich aber in ziemlich vielen Jahren in freier Wildbahn nicht gesehen.

Theoretisch wäre es möglich, aber unwahrscheinlich, daß Synology das früher erlaubt hat, jetzt aber (dann nach einem Update der DSM) nicht mehr.

Vielleicht ist das selbstausgestellte Zertifikat der Synology SHA-1 verschlüsselt.
High Sierra lässt diese nicht mehr zu
Wobei da nichts von selbstausgestellten Zertifikaten steht.

Leider muß ich dieses Verhalten von Safari bestätigen. Mit Safari ist leider keine Verbindung, zu meinem NAS im privaten Netzwerk, möglich.
Ich muß hierzu nun Chrome verwenden. Eine andere Lösung habe ich bisher nicht finden können.

Eigentlich sollte es reichen wenn du diesem Cert das Vertrauen aussprichst und das in deinem Schlüsselbund vermerken läßt.
Notfalls solltest du das Cert auch Direkt vom vom NAS (mit einem anderen Browser) laden und manuell installieren können. Dann sollte es auch wieder mit Safari klappen

Peter Eckel

In Safari kann man der Seite trotzdem das Vertrauen aussprechen und durch Eingabe des Passwort dauerhaft im Schlüsselbund hinterlegen.
Er schreibt aber, die Seite öffnet sich trotzdem nicht! In dem Fall ist Safari kaputt und das Verhalten von Firefox richtig und nicht andersrum, wie Du schreibst.

Vielen Dank für die Infos, ich sehe jetzt schon etwas klarer.

Es liegt wohl an Safari, da es ja in Firefox funktioniert.

Die SHA-1-Erklärung kann gut die Lösung sein, das hatte ich nicht mehr auf dem Radar ... dann ist mit Safari wirklich nichts mehr zu machen. Alternative: Selbst ein Zertifikat generieren und das auf der Synology installieren. Dann aber mit SHA256 signiert

Firefox wird erfahrungsgemäß auch nicht ewig weiter SHA-1-Zertifikate akzeptieren. Ist eigentlich auch keine gute Idee mehr.

Wenn's mit dem Zertifikat zusammenhängt, dann kannst du auch mal probieren, in der Synology ein eigenes zu erstellen. Da gibt es im "Control Panel" den Punkt "Security" und da das Menü "Certificate". Anleitungen dazu gibt es auf der Synology-Seite.
Ich kenne mich damit aber nicht aus und weiß nicht, ob das die Zertifikate sind, die benötigt werden. Bei mir gibt Safari dieselbe Warnung aus, aber ich benutze Safari nicht. Mit Firefox klappt das, auch mit Vivaldi, wenn ich mich recht erinnere.

Edit: Bei mir ist ein Standard-Zertifikat installiert.

Das hier habe ich auf der Synology-Web-Site gefunden:

Synology-Beschreibung:

Forumsbeitrag:

Es scheint so, als würde das Problem durch das Anlegen eines eigenen Zertifikats auf dem NAS gelöst werden können.

Viel Erfolg!

Ihr seid super!

Mit den Tipps von "Grundgütiger" hat es geklappt.
Zertifikat erstellt, runter geladen in den Schlüsselbund integriert und auf dem NAS für alle Dienste das neue selbsterstellte Zertifikat angegeben.

Jetzt läuft es auch wieder mit Safari und auch nach dem zu erwartenden Update von Firefox.

Vielen Dank an alle


MacMichael

Prima! Freut mich, dass das geklappt hat!