Sicherheit
Selbstsignierte Zertifikate & TOFU
Viele TrueNAS-Systeme verwenden standardmäßig selbstsignierte Zertifikate. Ein strikter TLS-Client lehnt diese Zertifikate ab, weil sie nicht von einer öffentlichen CA ausgestellt sind.
So geht der NAS Guard Agent damit um
- Der Agent versucht zuerst eine normale, strikte TLS-Verbindung.
- Wenn die TLS-Prüfung wegen Zertifikatsproblemen fehlschlägt, kann der Agent auf TOFU (Trust On First Use) zurückfallen und den Zertifikat-Fingerprint pinnen.
- Bei späteren Verbindungen akzeptiert der Agent nur noch denselben Fingerprint.
Ergebnis: Kein unsicheres "alles akzeptieren". Die Verbindung wird nach dem ersten Pin sicher.
Wann muss ich den Pin zurücksetzen?
- Wenn du das TrueNAS-Zertifikat erneuert/ausgetauscht hast.
- Wenn sich die TrueNAS-Adresse so geändert hat, dass sie auf ein anderes System zeigt.
Aktion: Im Agent UI den Button Zertifikat-Pin zurücksetzen nutzen und danach neu verbinden.
Pin-Mismatch
Wenn der Agent einen Pin-Mismatch meldet, solltest du das nicht ignorieren. Es kann bedeuten, dass sich das Zertifikat unerwartet geändert hat.
Sicherheit: Setze den Pin nur zurück, wenn du sicher bist, dass du dich mit deinem echten TrueNAS verbindest.