Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Threema Safe mit Nextcloud nutzen
#46
(25.12.2018., 22:57)rugk schrieb: Ich würde dir empfehlen, ein für alle gültiges Zertifikat von Let's Encrypt zu holen. Das geht automatisch, schnell und kostenlos.
Ich habe ein ähnliches Problem wie mein Namensvetter; momentan arbeite ich auch mit einem eigenen Root-CA-Zertifikat und selbstsigniertem Zertifikat. Ich würde stattdessen gerne ein "vernünftiges" Let's-Encrypt-Zertifikat nutzen, bin aber daran gescheitert, dass meine Synology nur im Intranet unter 192.168.178.2 erreichbar ist (kein eigener Domain-Name). Ist es möglich (und wenn ja, wie) ein Let's-Encrypt-Zertifikat für eine OP in einem lokalen C-Netz zu erhalten?


Andy
Zitieren
#47
Nein, das funktioniert nicht. Let's Encrypt überprüft den im Zertifikatsantrag vermerkten Domainnamen automatisch, und da 192.168.x.x per Definition nicht von außen erreichbar ist ...

Sprich - Du brauchst 'ne Domain und must die Synology von außen  erreichbar machen. Oder es klappt halt nicht mit Threema-Backup im Heimnetz.

EDIT:
Ich hab keine Ahnung von Synology, weiß also nicht, wie LetEncrypt da einzubinden ist. Falls Du auf die Shell mußt - ich habe hervorragende Erfahrungen mit http://acme.sh/ gemacht - braucht nur 'ne Shell und Cron auf dem Server und funktioniert nach dem Einrichten völlig automatisch und problemlos, inkl. Einrichtung von Apache, NginX, Postfix, u.v.m.. 
Und das Skript kann das Zertifikat sogar automatisch auf die Fritzbox kopieren, so daß die auch mit offiziellem Zertifikat erreichbar ist
Zitieren
#48
(25.12.2018., 22:57)rugk schrieb: Ich würde dir empfehlen, ein für alle gültiges Zertifikat von Let's Encrypt zu holen.
Ja, ich betreibe meine eigene CA. Und der potentielle Backupserver ist selbstverständlich nicht vom Internet aus zu erreichen (Erreichbarkeit via VPN zählt da nicht). Damit fällt Let's Encrypt natürlich weg.
Wie ich aber bereits schrieb, vermute ich immer noch, dass das wegen der in Android 7 vorgenommenen Änderung nur in Threema selbst behoben werden kann.

Ganz so abwegig sollte meine Anforderung aber eigentlich nicht sein: innerhalb von Firmennetzwerken sind eigene CAs nicht ganz unüblich.
Zitieren
#49
(18.12.2018., 20:19)Andy schrieb: Ich habe (vermutlich) das gleiche Problem wie Husky. Ich möchte das Backup auf einem eigenen Server mit eigenem Zertifikat abspeichern. Außerdem betreibe ich dafür noch eine eigene CA, d.h., ich muss das Root-Zertifikat explizit auf dem Smartphone ablegen, da ansonsten das Zertifikat des Webservers nicht akzeptiert wird. Leider hat Google seit Android 7 da eine Änderung vorgenommen: selbst hinzugefügten CAs wird nicht mehr automatisch vertraut. Apps müssen das explizit erlauben. Bei meinem S7 mit Android 8 hat das zur Folge, dass zwar Google Chrome und der Samsung Browser das Zertifikat akzeptieren und auf das Webdav-Verzeichnis zugreifen können, Firefox Klar und Threema aber anscheinend nicht.

Es besteht also immer noch die Möglichkeit, dass das in Threema selbst behoben werden muss.

Es wäre eventuell möglich in den Experteneinstellungen ein trusted CA-File anzugeben.
Zitieren
#50
(29.12.2018., 19:21)lgrahl schrieb: Es wäre eventuell möglich in den Experteneinstellungen ein trusted CA-File anzugeben.

Also in den Experteneinstellungen habe ich nichts gefunden wo man das angeben könnte.
Zitieren
#51
Das war eine Idee. Zwincker
Zitieren
#52
Ich versuche ebenfalls das ganze in einer privaten Umgebung mit einer Synology einzurichten.

Facts:

- Synology mit WebDav eingerichtet (nur HTTPS)
- selbstsigniertes Zertifikat
- CA Zertifikat und Synology-Zertifikat in Android importiert
- Huawei Smartphone mit Android 8.0

Dies soll alles im internen Netz geschehen.
NEIN ich will kein öffentliches Zertifikat und NEIN ich will die Synology nicht von aussen erreichbar machen.
Für irgend etwas gibt es schliesslich VPN.

Ich kann nicht verstehen, weshalb Threema einem importierten CA Zertifikat nicht vertrauen sollte?
Und es muss doch ebenfalls möglich sein, dies alles innerhalb eines privaten Netzwerks zu lösen?

Oder liege ich hier völlig daneben?

Gruess
Zitieren
#53
Das liegt daran, wie Android mit importierten Zertifikaten umgeht - und meines Wissens setzt Android das rigoros durch. Sprich - es geht halt nicht (vielleicht mit Root, aber das geht ja auch nicht bei jedem Handy ...)
Zitieren
#54
(04.01.2019., 13:26)csigrist schrieb: NEIN ich will kein öffentliches Zertifikat und NEIN ich will die Synology nicht von aussen erreichbar machen.

Au den FAQs:

"Threema Safe lässt sich mit jedem WebDAV-Server (z.B. NextCloud) verwenden, der übers Internet erreichbar ist und über ein gültiges TLS-Zertifikat verfügt."

Quelle: https://threema.ch/de/faq/threema_safe_webdav
Zitieren
#55
(04.01.2019., 13:26)csigrist schrieb: - selbstsigniertes Zertifikat
- CA Zertifikat und Synology-Zertifikat in Android importiert

Nutzt du den nun ein selbsigniertes Zertifikat, oder eine eine eigene CA?

Ist das Zertifikat vertraut, wenn du über den Android-Systembrowser auf deine Synology-URL connectest?
Zitieren
#56
(04.01.2019., 13:26)csigrist schrieb: Ich versuche ebenfalls das ganze in einer privaten Umgebung mit einer Synology einzurichten.

Facts:

- Synology mit WebDav eingerichtet (nur HTTPS)
- selbstsigniertes Zertifikat
- CA Zertifikat und Synology-Zertifikat in Android importiert
- Huawei Smartphone mit Android 8.0

Dies soll alles im internen Netz geschehen.
NEIN ich will kein öffentliches Zertifikat und NEIN ich will die Synology nicht von aussen erreichbar machen.
Für irgend etwas gibt es schliesslich VPN.

Ich kann nicht verstehen, weshalb Threema einem importierten CA Zertifikat nicht vertrauen sollte?
Und es muss doch ebenfalls möglich sein, dies alles innerhalb eines privaten Netzwerks zu lösen?

Oder liege ich hier völlig daneben?

Gruess

Hallo zusammen,

ich sehe das ganz genauso.
Wenn ich meine Threema DB auf meine private Synology sichern möchte, dann mache viele Benutzer sowie auch ich, lokal im eigenen Netzwerk.
Wer bereits eine private Cloud verwendet und auf dieser Dienste laufen lässt die von außerhalb erreichbar sein müssen, der hat auch eine eigene Domäne registriert und dafür ein Zertifikat erhalten.
Wer den externen Zugriff jedoch nicht benötigt, der muss auch kein Zertifikat von einer externen CA erstellen lassen.
Jeder Dienst der mobile Synchronisation anbietet, lässt dies über einen externen Zugriff oder optional im eigenen Netzwerk zu.
Genau dabei laufen Verbindungen über http völlig problemlos. Man erhält zwar eine visuelle Warnung aber da wir im privaten Netzwerk sind und nur die eigenen Clients darauf zugriefen könnten….
Nach einer Autorisierung über Benutzer + PW kann die Synchronisation über Http stattfinden.

Das Threema hier ausschließlich nur über Https und ein WebDAV der von außen erreichbar sein muss diese Synchronisation anbietet ist gelinde gesagt sehr halbherzig überlegt.
Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.
Da ich Threema User der ersten Stunde bin, bin ich eigentlich mehr als enttäuscht über diese halbfertige Implementierung.
Ganz ehrlich in die Runde….. durch simple private Cloud-Lösungen, hat mittlerweile recht viele Anwender eine dieser Lösungen im Haus um ihre Fotos, Videos usw. darauf zu sichern.
Meist läuft oder kann optional einfach konfiguriert werden, ein WebDav Server darauf.
Für die zuvor genannten Dinge funktioniert auch alles wunderbar.
Aber wieviel dieser Anwender haben darauf einen Dienst der nach außen verfügbar sein muss oder eine eigene Domäne.
Warum stellt man also so einen so unfertigen Kram in die sonst zufriedene Anwendung ???

Ich war heute selber voller Vorfreude und bemerkte erste bei der Konfiguration am mobilen Endgerät was hier für ein Unfug umgesetzt wurde.
Zitieren
#57
Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.
Zitieren
#58
(05.02.2019., 18:52)N3misis schrieb: Das Threema hier ausschließlich nur über Https und ein WebDAV der von außen erreichbar sein muss diese Synchronisation anbietet ist gelinde  gesagt sehr halbherzig überlegt.
Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.

Ich behaupte: Doch, den gibt es. DNS-Spoofing. Und wenn du eine IP verwendest garantiert dir niemand, dass dahinter auch immer dein Server sitzt. Daher: HTTPS wird Anforderung bleiben. Selbst signierte Zertifikate sollten ja funktionieren, wenn sie in Android/iOS importiert werden (geht das überhaupt in iOS?). Und wenn nicht, dann ist Threema sicherlich gesprächsbereit zu schauen, wo es hakt.

Edit: Offenbar kann man in iOS Zertifikate installieren (nicht getestet).
Zitieren
#59
(05.02.2019., 19:12)mibere schrieb: Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.

Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden? Hmm. Du kannst doch den Backupordner von Threema autom. mit einer App sychronisieren lassen, ist doch genau so gut und schnell.
Zitieren
#60
(05.02.2019., 19:51)DerBär schrieb: Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden?

Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

Klar, wenn ich etwas übers Internet wo hinschieben will, ist das ein anderes Thema, da will ich natürlich HTTPS zwingend verwenden.

Meiner Meinung nach ist die jetzige Umsetzung am Privatanwender vorbei entwickelt.
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Threema Safe: "User Agent Validation" mibere 4 796 14.03.2019., 21:05
Letzter Beitrag: Husky
  Sekurŝranko: Threema Safe Backup-Server dbrgn 1 837 14.12.2018., 14:05
Letzter Beitrag: rugk
  Threema am PC nutzen [RemixOS] m0Do. 3 3.240 19.09.2016., 18:22
Letzter Beitrag: andyg
  Threema vom PC aus nutzen MrExtremeSwiss 39 50.287 06.08.2016., 14:48
Letzter Beitrag: lgrahl