绿联NAS把泛域名证书和私钥都给用户了

木谷高明

【绿联私有云NAS可能存在中间人攻击，官方域名的泛域名证书可以被直接下载-哔哩哔哩】

倒也不是多大事，其他家NAS都是只给域名解析，不送SSL证书。他家送了SSL证书，但现在证书都是按年收费，每个用户签发一张不现实，就签了个泛域名证书。

无非是HTTPS流量可以拿私钥解密成明文罢了

强尼高达

SSL证书不是免费签发三个月的么，每个用户自己签发有什么不现实的，群晖DDNS就带证书了我记得

木谷高明

强尼高达 发表于 2024-7-6 08:55
SSL证书不是免费签发三个月的么，每个用户自己签发有什么不现实的，群晖DDNS就带证书了我记得 ...

let's encrypt的泛域名是免费，有效期3个月
其他付费的泛域名证书一般2000到5000块钱一年

强尼高达

木谷高明 发表于 2024-7-6 09:00
let's encrypt的泛域名是免费，有效期3个月
其他付费的泛域名证书一般2000到5000块钱一年 ...

免费SSL证书可不止一家，都是三个月
你觉得绿联会给付费证书吗

screeper

强尼高达 发表于 2024-7-6 08:55
SSL证书不是免费签发三个月的么，每个用户自己签发有什么不现实的，群晖DDNS就带证书了我记得 ...

群晖是要用quickconnect才给证书的，而且给的就是Let's Encrypt证书，签发名称是*.<用户名>.direct.quickconnect.io，配置了自动续期
绿联这个就是连Let's Encrypt这种免费证书都懒得搞，也没有qc这种隧道/打洞服务，不能在云上生成证书下发给用户，纯纯的草台班子

screeper

强尼高达 发表于 2024-7-6 09:03
免费SSL证书可不止一家，都是三个月
你觉得绿联会给付费证书吗

绿联给的这个是RapidSSL签发的，有效期一年，还真是付费证书

EraserKing

那我只要是运营商 就可以MITM是吧
谢谢绿联~

— from Xiaomi 23127PN0CC, Android 14 of S1 Next Goose v2.5.2-play

强尼高达

screeper 发表于 2024-7-6 09:05
群晖是要用quickconnect才给证书的，而且给的就是Let's Encrypt证书，签发名称是*..direct.quickconnect.i ...

群晖自己的DDNS现在已经可以自动签发证书了，最近几年的事情
全自动签发证书这个流程完全成熟，这点可以看出绿联这种公司什么水平了

KDN_Observer

按自己的观察还是有大批人2024年了依然认为SSL证书必须要付费才能获得，属于是赚这种人的钱了

勿徊哉

喷了
国产nas感觉至少再等五年……

强尼高达

勿徊哉 发表于 2024-7-6 10:10
喷了
国产nas感觉至少再等五年……

指望国产NAS不如指望国产软路由，人家真的只是潜心做硬件，软件交给开源社区，已经有能插一根NVME的软路由出来了
国产大厂么，不收集你个人信息都不好意思跟人打招呼

Lazia

华硕路由自带的DDNS也是二级域名let's encrypt自动更新，我记得openwrt都有全自动acme的插件

Deco

为啥觉得绿联不搞自动签发的免费证书是个技术问题？

拉鲁拉丝

fat

究竟收费ssl证书的好处是啥…

冬马总冠军

所以极空间有什么黑点吗，有点想换个nas玩玩了

—— 来自 S1Fun

尼特geek

Lazia 发表于 2024-7-6 10:22
华硕路由自带的DDNS也是二级域名let's encrypt自动更新，我记得openwrt都有全自动acme的插件 ...

op确实有这个插件，而且证书好像还支持二级域名。

论坛助手,iPhone

mp5

你们买绿联nas不都是买硬件吗？绿联官方这破系统也敢用？

EraserKing

すぴぱら 发表于 2024-7-6 10:49
收费证书支持wildcard，一个证书下面所有二级域名都能认证 对于企业来说非常重要

对于个人属实没用 ...

现在不都行？
你说收费证书有ev还差不多

— from Xiaomi 23127PN0CC, Android 14 of S1 Next Goose v2.5.2-play

screeper

强尼高达 发表于 2024-7-6 09:45
群晖自己的DDNS现在已经可以自动签发证书了，最近几年的事情
全自动签发证书这个流程完全成熟，这点可以看 ...

群晖自己的二级域名应该有一套自动流程可以实现DNS-01，所以在申请群晖DDNS的时候不需要开放80端口。如果用自定义域名的话就得走HTTP-01验证，在国内就行不通了
绿联估计也没有自己的DNS nameserver，所以凭借俺寻思之力直接把一级域名的泛域名证书打包进去了

mp5

screeper 发表于 2024-7-6 11:55
群晖自己的二级域名应该有一套自动流程可以实现DNS-01，所以在申请群晖DDNS的时候不需要开放80端口。如果 ...

会这么搞，就说明绿联的nas系统开发压根没有做安全方面的考虑

Izual

也是胆肥，如果有人用这域名搞事情，那要负责任的可就是域名的认证人…

win8

证书不一样一方面是安全程度不同,另一方面是速度会不同.
安全程度指签发方的受信任程度,付费算是一种筛选门槛
速度指https访问速度会比http速度慢,多出加密解密和认证的过程,免费的认证速度大概慢一点

hein

mp5 发表于 2024-7-6 11:16
你们买绿联nas不都是买硬件吗？绿联官方这破系统也敢用？

不就是图它硬件吗……现在爆出来问题越多，能不能越便宜呢。

强尼高达

screeper 发表于 2024-7-6 11:55
群晖自己的二级域名应该有一套自动流程可以实现DNS-01，所以在申请群晖DDNS的时候不需要开放80端口。如果 ...

布署自动签发本来就不需要80端口，只要有api
还有人做了个docker可以给任意域名签发证书

博叔

还好618吃了一口💩后没听信他鬼话吃到这口更大的💩。短时间改得出来是他绿联能做出来的事？又不是互联网大厂。果断退了入极空间，目前爽歪歪中。

论坛助手,iPhone

chachi

screeper 发表于 2024-7-6 11:55
群晖自己的二级域名应该有一套自动流程可以实现DNS-01，所以在申请群晖DDNS的时候不需要开放80端口。如果 ...

弄DNS01不都是用别人现成的DNS API 吗，不管是 cloudflare或者dnspod都可以啊
用国内小厂的NAS软件系统，真的是想不开啊
用用硬件就行了，还要去吃软件的大便。不管是隐私还是安全性来说，都没有保证。

screeper

强尼高达 发表于 2024-7-6 12:58
布署自动签发本来就不需要80端口，只要有api
还有人做了个docker可以给任意域名签发证书 ...

群晖DSM自带的DDNS对于自定义域名只能HTTP01验证

如何从Synology NAS上的Let's Encrypt获取证书？

Synology DDNS支持DNS-01 （从DSM 6.0开始）和通过Let's Encrypt进行HTTP-01验证。自定义域仅支持使用Let's Encrypt进行HTTP-01验证。

第三方脚本海了去了，github随便搜搜就有一大堆acme.sh+自动替换系统证书的，但是官方提供的方法里，自定义域名就是只能HTTP01

木谷高明

すぴぱら 发表于 2024-7-6 10:49
收费证书支持wildcard，一个证书下面所有二级域名都能认证 对于企业来说非常重要

对于个人属实没用 ...

免费的也有泛域名，不过有效期只有三个月

不过OV组织认证和EV商业认证只有付费的有，DV域名认证免费的收费的都有

木谷高明

screeper 发表于 2024-7-6 11:55
群晖自己的二级域名应该有一套自动流程可以实现DNS-01，所以在申请群晖DDNS的时候不需要开放80端口。如果 ...

参考acme.sh那个DNS方式签发就行，只要能验证域名所有权添加一些DNS校验记录，子域名随便签发

ork

给了私钥这https还safe吗

强尼高达

screeper 发表于 2024-7-6 14:29
群晖DSM自带的DDNS对于自定义域名只能HTTP01验证

如何从Synology NAS上的Let's Encrypt获取证书？

不就是不想让别人随便一个什么域名都用NAS来自动更新证书么，有什么不好理解的

zzz222

这私钥给了不就自己能解所有其它用户的加密数据流了，太草台了吧，要么干脆就http，有需要的用户自己来申请证书

冬马总冠军

@所有人 绿宝们，我们已定位到该问题属于体验帐号，正式用户设备上没有这个证书，也不会用到这个证书和私钥，对正式用户不会有任何影响。我们已经吊销该体验帐号的证书。绿联NAS私有云团队非常重视并以力求保障用户数据安全，感谢您对绿联NAS私有云的支持！

—— 来自 S1Fun

xmcp

letsencrypt这种免费证书有每个域名每周最多50张的限制，要想绕过限制要么给letsencrypt交申请表审核（耗时以周为单位），要么把自己的主域名加进public suffix list（耗时以月为单位）。绿联这么着急赶618上市，可能时间上来不及走完流程，所以没做自动签证书？

木谷高明

win8 发表于 2024-7-6 12:53
证书不一样一方面是安全程度不同,另一方面是速度会不同.
安全程度指签发方的受信任程度,付费算是一种筛选门 ...

ECC证书比RSA证书加解密速度快，但lets encrypt也支持申请ECC证书了