mikrocontroller.net

Forum: PC Hard- und Software Kaspersky meldet: Connection not protected


Autor: Oliver (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo

wir haben zu Hause eine Synology DS laufen. Der Zugang zum Internet 
erfolgt mittels Fritzbox 7490. Auf dieser ist eine Portweiterleitung zu 
der Weboberfläche der DS eingerichtet

Wenn ich nun von außerhalb auf die DS zugreifen möchte (W10, Kapsersky 
Total Security, Chrome) erhalte ich ständig die angefügte Meldung. DOrt 
muss ich dann zweimal auf "I understand..." clicken bevor ich auf das 
Webportal komme.

Ich habe mir heute das Zertifikat von der Fritzbox zu Hause 
heruntergeladen und auf meinem Laptop installiert. Hat aber nichts 
gebracht, die Meldung erhlte ich trotzdem noch.

Hat jemand Rat?

Autor: Oliver (Gast)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
oops

Autor: Hmmm (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Oliver schrieb:
> Ich habe mir heute das Zertifikat von der Fritzbox zu Hause
> heruntergeladen und auf meinem Laptop installiert. Hat aber nichts
> gebracht, die Meldung erhlte ich trotzdem noch.

Wenig erstaunlich, was hat die Fritzbox mit dem SSL-Zertifikat der 
Synology zu tun?

Der eleganteste Weg wäre, die Synology mit einem vernünftigen Zertifikat 
für den von aussen genutzten FQDN zu versorgen, sofern sie das 
unterstützt.

Autor: vn n. (wefwef_s)
Datum:

Bewertung
4 lesenswert
nicht lesenswert
Ein weiter Tipp wäre, Kaspersky und ähnliches Pseudosecurity-Schlangenöl 
vom Rechner zu verbannen...

Autor: Antwort (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
> Wenn ich nun von außerhalb auf die DS zugreifen möchte (W10, Kapsersky
> Total Security, Chrome) erhalte ich ständig die angefügte Meldung. DOrt
> muss ich dann zweimal auf "I understand..." clicken bevor ich auf das
> Webportal komme.

Du kannst die Meldung ignorieren. Sie bemängelt nur, daß es ein 
selbstsigniertes Zertifikat ist. Die dahinter stehende Sicherheit hat 
damit eher nichts zu tun.

Vom technischen Aspekt her kann eine eigenes Zertifikat deutlich 
sicherer sein als ein "vertrauenswürdiges". Dein Kaspersky prüft nur, ob 
das Zertifikat von einer offiziellen Stelle signiert worden ist. Die 
Warnung ist in Deinem Fall komplett irrelevant für die Sicherheit.

Beispiel:
Fall A: Zertifikat selbst erstellt und signiert. Damit bestätigst Du Dir 
selbst, daß das Zertifikat von Dir ist. Das ist dann das selbstsignierte 
Zertifikat. Kaspersky sagt: Du bist nicht vertrauenswürdig.

Fall B: Zertifikat von einer externen Zertifizierungsstelle signiert. 
Damit bestätigt ein Dritter, daß Du wirklich Du bist, obwohl er Dich 
weder kennt noch gesehen hat. Aber dafür will er Geld haben. (Es gibt 
Ausnahmen, z.B. letsencrypt). Kaspersky sagt: Alles gut, weil das ein 
Dritter behauptet.

Ich verwende auch selbstsignierte Zertifikate für meinen privaten 
Gebrauch und vertraue mir hier selbst am meisten und wähle deshalb stets 
Fall A. :)


BTW: Dein Kasperl gaukelt  Dir eine Sicherheit vor, die er Dir nicht 
bieten kann. Du brauchst sowas nicht, die betriebssystemeigenen 
Bordmittel sind vollkommen ausreichend.  Wenn Du es sicher haben willst, 
empfehle ich den Umweg über ein VPN statt den Direktzugriff.

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Antwort schrieb:
> Ich verwende auch selbstsignierte Zertifikate für meinen privaten
> Gebrauch und vertraue mir hier selbst am meisten und wähle deshalb stets
> Fall A.

Das ist nicht weit genug gedacht, denn niemand hindert den "Bösen Mann 
in der Mitte", sich selbst ein Zertifikat mit Deinen Informationen 
auszustellen und sich damit als Du auszugeben. Da Du glaubst, Dir zu 
vertrauen, vertraust Du somit auch dem nachgemachten Zertifikat.

Du müsstest schon eine Kopie Deines Zertifikats (oder einen Hash o.ä. 
davon) an separater Stelle ablegen/mit Dir herumtragen, um zu 
verifizieren, daß das Zertifikat, das vorgibt, "Dein" Zertifikat zu 
sein, auch wirklich "Dein" Zertifikat ist.

Machst Du das? Jedes Mal?


Da ist ein letsencrypt-Zertifikat erheblich sicherer.

Autor: Antwort (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Das ist nicht weit genug gedacht, denn niemand hindert den "Bösen Mann
> in der Mitte", sich selbst ein Zertifikat mit Deinen Informationen
> auszustellen und sich damit als Du auszugeben. Da Du glaubst, Dir zu
> vertrauen, vertraust Du somit auch dem nachgemachten Zertifikat.

Dazu bräuchte er erst mal meine CA, mit dem er sein Zertifikat signieren 
kann. Meine Gegenstelle prüft das selbstverständlich.



> Da ist ein letsencrypt-Zertifikat erheblich sicherer.

Nein, ist es nicht - zumindest nicht in meinem Fall. Ich verwende 
selbstsignierte Zertifikate z.B. für openVPN oder einen eigenen 
Webserver im nichtöffentlichen Bereich - das meine ich mit "privaten 
Gebrauch". Da brauche ich niemanden, der mir bestätigt, daß ich ich bin.

Autor: M.K. B. (mkbit)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Antwort schrieb:
> Da brauche ich niemanden, der mir bestätigt, daß ich ich bin.

Du hast aber in diesem Fall dem Server und Client das jeweils andere 
Zertifikat übergeben, damit dieser auch nur diese akzeptiert, oder?

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Antwort schrieb:
> Dazu bräuchte er erst mal meine CA, mit dem er sein Zertifikat signieren
> kann. Meine Gegenstelle prüft das selbstverständlich.
>
>> Da ist ein letsencrypt-Zertifikat erheblich sicherer.
>
> Nein, ist es nicht - zumindest nicht in meinem Fall. Ich verwende
> selbstsignierte Zertifikate


Von einem selbstsignierten Zertifikat spricht man, wenn das Zertifikat 
sich selbst signiert.
Das selbst bezieht sich nicht darauf, das man das alles selbst macht.

Wenn du ein eigenes CA nimmst um ein anderes eigenes Zertifikat damit zu 
signieren, dann ist diese andere eigene Zertifikat nicht selbstsigniert.

Siehe dazu auch, da wird das noch einmal erklärt.
https://wiki.ubuntuusers.de/CA/#Selbstsignierte-Zertifikate


Wenn du erstere Variante nimmst und das CA Zertifikat in den  Browser 
deiner Clientrechner manuell installierst und am besten noch den 
Fingerprint vergleichst, dann ist gut.

Wenn du aber nur selbstsignierte Zertifikate nimmst, dann ist hier ein 
man in the middle Angriff möglich wenn du das Zertifikat nicht manuell 
installierst und im Browser einfach absegnest ohne den Fingerprint zu 
vergleichen.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
letsencrypt-Zertifikate sind normalerweise eine gute Lösung, haben aber 
den Nachteil, dass  man damit zu viel über seinen Internetanschluss 
preis gibt, da man anhand des Zertifikats immer erkannt werden kann.

Deswegen sollte man letsencrypt Zertifikate nur auf gehostete Server 
einsetzen und nicht auf Servern, die über den privaten Internetanschluss 
laufen.


Für letztere sollte man besser ein eigenes Zertifikat erstellen, dass 
man mit einem eigenen root CA Zertifikat signiert.
Das root CA Zertifikat muss man dann lediglich auf seine Clientrechner 
manuell installieren.

Solche CA Zertifikate haben dabei auch den Vorteil, dass man damit alle 
seine Serverdienste im Heimnetz signieren kann.
Also vom Router bis zum Switch bis zum NAS und sonstigen Servern.

Autor: Rufus Τ. F. (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> haben aber den Nachteil, dass  man damit zu viel über seinen
> Internetanschluss preis gibt, da man anhand des Zertifikats immer
> erkannt werden kann.

Was magst Du damit meinen?

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein Beispiel:
https://www.golem.de/news/https-fritzbox-bekommt-let-s-encrypt-support-und-verraet-hostnamen-1712-131705.html

Das Problem betrifft alle Serverdienste die von außen erreichbar sind.

Autor: Antwort (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:

> Von einem selbstsignierten Zertifikat spricht man, wenn das Zertifikat
> sich selbst signiert.
> Das selbst bezieht sich nicht darauf, das man das alles selbst macht.
>
> Wenn du ein eigenes CA nimmst um ein anderes eigenes Zertifikat damit zu
> signieren, dann ist diese andere eigene Zertifikat nicht selbstsigniert.

Du hast natürlich recht - ich habe mich falsch ausgedrückt.
Ich meine mit "selbstsigniert" das "signieren mit einer eigenen, nicht 
offiziell beglaubigten CA". Daß das der falsche Ausdruck ist habe ich 
ehrlich gesagt nicht gewußt. Wieder was gelernt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.