[Erledigt] Digitalisierungsbox Smart - Die TLS Version () die zum Update verwendet wurde, ist veraltet.

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,315
Punkte für Reaktionen
130
Punkte
63
Hallo, folgende Meldung bekomme ich von spdyn.de:
" Die TLS Version () die zum Update verwendet wurde, ist veraltet. Bitte aktualisieren Sie Ihren Dyndns-Client. Eine korrekte Funktion des Updates mit dieser TLS-Version kann zukünftig nicht garantiert werden"
Installiert ist die neueste Version von der Telekom, Version 11.01.03.103, Stand 10/2020. Weiß jemand was man da tun kann?
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,540
Punkte für Reaktionen
225
Punkte
63
Paket-Mitschnitt erstellen und in Wireshark überprüfen, ob die Fehlermeldung stimmt. Solche Fehlermeldungen meinen heutzutage üblicherweise, dass der HTTP-Client = Digitalisierungsbox Smart noch kein TLS 1.2 bietet sondern maximal TLS 1.0 fährt. Manche Dienste-Anbieter erfordern nicht nur TLS 1.2 sondern auch eine PFS und AEAD basierte Cipher-Suite, also mindestens TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Wenn der Paket-Mitschnitt ergibt (TLS Client-Hello), dass jene Cipher-Suite fehlt, kannst Du das SOC der Telekom Deutschland anschreiben. Die leiten es dann weiter an den Sub-Hersteller Bintec-Elmeg. Parallel würde ich an Deiner Stelle auch einen postalischen Brief an die Geschäftsführung bei Bintec-Elmeg Deutschland und der Mutter in Spanien schicken. Jener Konzern hat nämlich kein Vorgehen für gemeldete Sicherheitsfehler – jedenfalls bei meinem letzten Fall war das noch der Stand der Dinge.

Wenn Telekom Deutschland nicht rechtzeitig reagiert, hast Du weitere Optionen auf der Dienste-Seite:
a) anderen DynDNS-Anbieter suchen; diese Restriktion ist nämlich Käse​
b) bei Deinem Anbieter nicht HTTPs sondern direkt HTTP versuchen; das wäre wirklich Käse​
c) einen HTTPs-Proxy im Heimnetz aufbauen, wenn die Digitalisierungs Smart lokale IPs erlaubt​
d) ansonsten einen HTTPs-Proxy auf einem entfernten Server aufbauen, der eine statische Adresse (Domain oder IP) hat​
So ein HTTPs-Proxy wäre zum Beispiel stunnel. Eine Konfigurationsanleitung dafür findet sich hier …

Bei Fragen zu den einzelnen Punkten direkt einfach fragen und nicht lange suchen. Im Internet steht soviel Unfug. Selbst wenn Du einen Doktor in IT-Security hättest, könntest Du leicht falsch abbiegen. Ich habe eine DigiBox Smart hier und kann im Extremfall bei jedem Schritt helfen.

Und natürlich könntest Du eine andere Übergangsbox nehmen, denn z.B. AVM, DrayTek und Lancom haben dieses Problem schon nicht mehr.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,315
Punkte für Reaktionen
130
Punkte
63
andere Übergangsbox
Bald soll es Glasfaser geben, dann fliegt die Digitalisierungsbox sowieso. Ansonsten habe ich hier einen wahren Routerpark rumliegen, wahrscheinlich werde ich, wenn es die Zeit erlaubt, die Digitalisierungsbox Basic anschließen. Bis dahin kann auch der Raspberry im Heimnetz den Dyndns-Account aktualisieren.

Schade, ich dachte diese Geräte werden noch gepflegt.
 

Kalle2006

IPPF-Promi
Mitglied seit
23 Jul 2006
Beiträge
3,356
Punkte für Reaktionen
82
Punkte
48
Die Geräte werden noch gepflegt, und ich hatte bisher noch keine Probleme mit meinen DynDNS - Anbietern.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,315
Punkte für Reaktionen
130
Punkte
63
OK, ich nehme alles zurück und behaupte das Gegenteil :)

Im Ernst: Auch mit anderen Clients erscheint obige Fehlermeldung, wie ein Test ergab. Dann liegt das wohl nicht an der Digitalisierungsbox sondern am Provider. Der erzeugt diese in die Irre führende Fehlermeldung wenn man ohne Verschlüsselung aktualisiert. Das führt zu der Frage, wie man der Digitalisierungsbox beibringt, über https zu aktualisieren? Einfach Port 443 eintragen?
 

chrsto

Mitglied
Mitglied seit
8 Sep 2010
Beiträge
761
Punkte für Reaktionen
74
Punkte
28

Ja. Da hat sich was geaendert: Wir haben die Unterstuetzung fuer alte TLS-Versionen deaktviert gehabt. Denn sowas wie TLS 1.0 ist uralt. Viele Endgeraete kamen mit der Abschaltung dieser alten TLS-ersionen nicht klar. Das wurde nun entsprechend rueckgaengig gemacht. Nun bekommen Sie eine entsprechende Meldung. (Auch wird am SPDYN-Dienst weiterhin gearbeitet) Kurz: Das ist ein Problem des Client selbst.
 

Kalle2006

IPPF-Promi
Mitglied seit
23 Jul 2006
Beiträge
3,356
Punkte für Reaktionen
82
Punkte
48
Das führt zu der Frage, wie man der Digitalisierungsbox beibringt, über https zu aktualisieren? Einfach Port 443 eintragen?
In der bintec be.IP plus gibt es dafür eine zusätzliche Auswahl " HTTPS/SSL" sowie die Möglichkeit der "Zertifikatsüberprüfung".
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
5,315
Punkte für Reaktionen
130
Punkte
63
Momentan aktualisiert die Box auf Port 80, was wohl unverschlüsselt bedeutet. Die Fehlermeldung ist die gleiche wie beim ddclient unter Linux, wenn man nicht ssl=yes in der ddclient.conf stehen hat. Nach Eintrag von ssl=yes klappt alles ohne Fehlermeldung.
zusätzliche Auswahl " HTTPS/SSL"
Danach suche ich noch. Ein Video erklärt die Einrichtung mit Update-Token, das möchte ich aber nicht weil das dann für alle Hosts gilt und einige Router das nicht können.

Edit: Ich habe was gefunden: https://telekomhilft.telekom.de/t5/...NS-via-HTTPS/m-p/3293323/highlight/true#M8995
Zitat: "nach dem aktuellen Stand wird DynDNS über HTTPS nicht unterstützt." Prima :(
 
Zuletzt bearbeitet:

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via

IPPF im Überblick

Neueste Beiträge

Website-Sponsoren


Kontaktieren Sie uns bei Interesse