[Info] FRITZ!OS-Updates und Zertifikate

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,138
Punkte für Reaktionen
1,703
Punkte
113
Mit dem neuesten Update macht jetzt auch Microsoft Front gegen ältere Zertifikate, die noch SHA-1 als Signaturalgorithmus verwenden (nicht zu verwechseln mit dem "Fingerabdruck"). Zwar führt das nicht direkt zu Warnungen im Zusammenhang mit der FRITZ!Box (weil selbstsignierte Zertifikate erst einmal nicht betroffen sind), aber es lenkt die Aufmerksamkeit einmal mehr auf dieses Thema und auf eine Unzulänglichkeit (in meinen Augen jedenfalls ist es eine) beim Firmware-Update durch AVM.

Hat man nämlich bereits mit einer älteren Firmware ein Zertifikat erzeugt (erst seit 06.8x verwendet AVM m.W. hier SHA-256 zum Signieren des "self-signed certificate") und seitdem immer brav seine FRITZ!Box aktualisiert, ohne sie auf Werkseinstellungen zu setzen (ob auch ein "einfacher" Import reicht, weiß ich nicht und will ich jetzt auch nicht probieren), dann bleibt auch dieses SHA-1-Zertifikat erhalten ... jedenfalls nach dem, was ich bei der 6490 gerade wieder einmal getestet habe (auf anderen Geräten habe ich benutzereigene Zertifikate und da ist das wieder ein anderes Thema).

Bei so einem - durch die Box - selbstsignierten Zertifikat könnte man theoretisch sogar seitens AVM ein Update des Zertifikats ausführen, ohne daß die von AVM selbst verwendeten Mechanismen zum "certificate pinning" daran scheitern würden ... solange AVM dort den öffentlichen Schlüssel "festpinnt" und nicht den Fingerabdruck des Zertifikats, könnte man (bzw. AVM) auch hingehen und mit demselben privaten (und damit auch mit demselben öffentlichen) Schlüssel ein neues Zertifikat selbst signieren und dabei dann SHA-256 verwenden für die Signatur. Die Schlüssellänge (RSA mit 2048 Bit) ist jedenfalls dieselbe (die Umstellung auf RSA-2048 ist schon etwas länger her, aber ganz alte "geerbte" Zertifikate könnten auch noch mit einem 1024-Bit-Schlüssel arbeiten) bei der 06.83 - an dieser Stelle müßte man nichts ändern.

Was kann man nun eigentlich als FRITZ!Box-Besitzer machen, wenn man seine Box nicht auf Werkseinstellungen zurücksetzen will (und wenn nicht doch beim Komplett-Import in die - nicht zurückgesetzte - Box auch ein neues Zertifikat erzeugt werden sollte, denn in der Sicherung ist so ein selbstgeneriertes Zertifikat nicht enthalten)?

Dann bleibt zumindest noch die Möglichkeit, zwischendrin einfach irgendein selbstgeneriertes Zertifikat zu importieren ... das dient eigentlich nur dazu, das von der Box generierte zu überschreiben und im Nachgang dann im GUI die Möglichkeit zu erhalten, dieses "benutzereigene Zertifikat" wieder zu löschen (der kleine Button hinter der Box mit dem Fingerabdruck). Dann generiert das FRITZ!OS wieder ein eigenes (allerdings eben mit einem neuen privaten Schlüssel und damit schlagen dann ggf. die AVM-Apps auch entsprechend Alarm, wenn sich die Schlüssel ändern) ... es geht aber noch einfacher.

Die FRITZ!Box erzeugt nämlich bei einem von ihr selbst signierten Zertifikat (bei einem benutzergenerierten Zertifikat ist auch der Benutzer für Inhalt und verwendete Algorithmen verantwortlich, da braucht sie sich also nicht darum kümmern bzw. das kann sie auch gar nicht) auch dann ein neues, wenn sich eine der konfigurierten DynDNS-Adressen (auch MyFRITZ! gehört an dieser Stelle dazu) oder der Name der Box ändern - einfach deshalb, weil diese Daten im "CN" und (wichtiger) in den "Subject Alternative Names" stehen und sich bei einer der erwähnten Änderungen dann auch diese Liste ändert.

Es reicht also auch aus, wenn man einfach für seine FRITZ!Box das MyFRITZ!-Konto deaktiviert und dann wartet, bis die Box ein neues Zertifikat generiert hat (man sieht es am Fingerabdruck unter Freigaben -> FRITZ!Box-Dienste -> Zertifikat, wenn sich das ändert) und dann reaktiviert man das wieder. Das geht natürlich auch mit einem anderen DynDNS-Anbieter ... beim Umbenennen der FRITZ!Box gibt es dann noch ein paar Seiteneffekte, die man erst wieder rückgängig machen müßte, denn von so einer Umbenennung ist eben (ich schreibe jetzt mal: unverständlicherweise, weil man das wenigstens auswählbar hätte machen können) nicht nur der Hostname der Box betroffen, sondern auch WLAN, DECT und die NAS-Dienste - das macht diese Stelle eher zu einer schlechten Wahl, es sei denn, man hatte sich schon länger vorgenommen, endlich mal die eigene Box umzubenennen.

Der Weg über die DynDNS-Namen macht auch nur dann Sinn, wenn das Zertifikat bereits für einen 2048-Bit-Schlüssel ausgestellt wurde. Ist da noch ein ganz alter 1024-Bit-Schlüssel in Benutzung, sollte man den Weg mit dem "dummy certificate", das man dann gleich wieder löscht, beschreiten.

Da sicherlich nicht jeder Betroffene über ein installiertes OpenSSL-Paket verfügt, habe ich mal ein solches Dummy-Zertifikat erzeugt und hänge es hier an - wer daran herumeditieren sollte/will, muß bitte beachten, daß das UTF-8 ohne BOM mit Linux-Zeilenenden sein sollte, was man der FRITZ!Box an dieser Stelle anbietet. Das Zertikat kann man nach dem Import einfach wieder löschen (auf die erfolgreiche Weiterleitung nach dem Import würde ich mich nicht immer verlassen, so ein Import sollte in max. 30 Sekunden erledigt sein) und dann generiert die Box sich ein neues - spätestens beim nächsten Restart; wobei das mit dem Umschalten auf das von der Box generierte Zertifikat deutlich besser klappt als die Weiterleitung nach einem Import.

Was für ein Zertifikat die eigene Box gerade verwendet, kann man sich ja entweder im Browser bei einem TLS-Zugriff ansehen oder in der "Import"-Seite beim Download des installierten Zertifikats prüfen ... die meisten Systeme erkennen die Erweiterung "cer" und zeigen den Inhalt dann in irgendeiner geeigneten Weise an. Wichtig sind Signaturalgorithmus (sha256RSA) und Länge des "Public key" (2048 Bit mind., die Box kann m.W. auch 4096 ab) - bei kürzerem Schlüssel braucht es einen neuen und bei "sha1RSA" als Signaturalgorithmus sollte das Erneuern des Zertifikats auf dem oben gezeigten Weg ausreichen.
 

Anhänge

  • dummy_cert.txt
    3.1 KB · Aufrufe: 140
  • Like
Reaktionen: geohei
Danke! Der Tip mit dem Dummy-Zertifikat hat super funktioniert.
 
Dieser Forumsoftware fehlt ein "Danke!"-Button, daher hier: Danke!
 
danke für den tip.. muß man die txt-datei dann noch iwie in eine pem-datei umwandeln um sie zu importieren?
 
Nein, das ist schon eine PEM-Datei, die Forensoftware mag nur keine Erweiterung ".pem". Da der Import nichts auf den Namen gibt, kann man einfach die Datei im Browser auswählen ... so, wie sie ist.
 
danke für die antwort.. wo kann man denn dann nach dem import das dummy-cert wieder löschen?
 
Siehe #1, habe ich aufgeschrieben ... geht halt erst dann, wenn man überhaupt ein benutzerdefiniertes Zertifikat in der Box hat, dann gibt es auch den Button zum Löschen im GUI.
 
danke für die info.. auf new kriegt man die zertifikate so aber nicht, richtig? gibts ne möglichkeit wie man das hinkriegt?
 
Du hast vermutlich übersehen, das es mehrere verschiedene Zertifikate für unterschiedlichste Zwecke auf der Fritzbox geben kann. Um das Zertifikat, welches du wohl möchtest und welches dein Nick suggeriert, geht es in diesem Thread nicht.
 
oki, dennoch danke für den support.. gibts denn eine möglichkeit, das zertifikat, das ich meine (findet sich bei der 6490 in den [FONT=&quot]Support Daten[/FONT]) auf new zu kriegen?
 
Du möchtest also das neue Herstellerzertifikat von AVM haben. Frag doch einfach mal bei denen an, wie du das bekommen kannst. Schließlich sind die ja der Hersteller deiner Fritzbox.
 
naja, meine fritzbox ist eine von unitymedia-gebrandete box.. weiß nicht, ob avm da groß auskunft gibt.. zudem: wenns hier keiner weiß gibts da wohl auch kaum ne möglichkeit..
 
Hat wunderbar funktioniert.
Danke !!!

MyFRITZ!-Konto deaktiviert

Certificate Signature Alogrithm
PKCS #1 SHA-1 With RSA Encryption (voher)
PKCS #1 SHA-256 With RSA Encryption (nachher :) )
 
In deinem anderen Thread von heute würde der letzte Beitrag sogar noch besser passen.
 
... ist dort gelinked!
Aber keine Lösung (im anderen Thread, daher nur gelinked).
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.