[Erledigt] Digitalisierungsbox Smart - Die TLS Version () die zum Update verwendet wurde, ist veraltet.

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
6,334
Punkte für Reaktionen
387
Punkte
83
Hallo, folgende Meldung bekomme ich von spdyn.de:
" Die TLS Version () die zum Update verwendet wurde, ist veraltet. Bitte aktualisieren Sie Ihren Dyndns-Client. Eine korrekte Funktion des Updates mit dieser TLS-Version kann zukünftig nicht garantiert werden"
Installiert ist die neueste Version von der Telekom, Version 11.01.03.103, Stand 10/2020. Weiß jemand was man da tun kann?
 
Paket-Mitschnitt erstellen und in Wireshark überprüfen, ob die Fehlermeldung stimmt. Solche Fehlermeldungen meinen heutzutage üblicherweise, dass der HTTP-Client = Digitalisierungsbox Smart noch kein TLS 1.2 bietet sondern maximal TLS 1.0 fährt. Manche Dienste-Anbieter erfordern nicht nur TLS 1.2 sondern auch eine PFS und AEAD basierte Cipher-Suite, also mindestens TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Wenn der Paket-Mitschnitt ergibt (TLS Client-Hello), dass jene Cipher-Suite fehlt, kannst Du das SOC der Telekom Deutschland anschreiben. Die leiten es dann weiter an den Sub-Hersteller Bintec-Elmeg. Parallel würde ich an Deiner Stelle auch einen postalischen Brief an die Geschäftsführung bei Bintec-Elmeg Deutschland und der Mutter in Spanien schicken. Jener Konzern hat nämlich kein Vorgehen für gemeldete Sicherheitsfehler – jedenfalls bei meinem letzten Fall war das noch der Stand der Dinge.

Wenn Telekom Deutschland nicht rechtzeitig reagiert, hast Du weitere Optionen auf der Dienste-Seite:
a) anderen DynDNS-Anbieter suchen; diese Restriktion ist nämlich Käse​
b) bei Deinem Anbieter nicht HTTPs sondern direkt HTTP versuchen; das wäre wirklich Käse​
c) einen HTTPs-Proxy im Heimnetz aufbauen, wenn die Digitalisierungs Smart lokale IPs erlaubt​
d) ansonsten einen HTTPs-Proxy auf einem entfernten Server aufbauen, der eine statische Adresse (Domain oder IP) hat​
So ein HTTPs-Proxy wäre zum Beispiel stunnel. Eine Konfigurationsanleitung dafür findet sich hier …

Bei Fragen zu den einzelnen Punkten direkt einfach fragen und nicht lange suchen. Im Internet steht soviel Unfug. Selbst wenn Du einen Doktor in IT-Security hättest, könntest Du leicht falsch abbiegen. Ich habe eine DigiBox Smart hier und kann im Extremfall bei jedem Schritt helfen.

Und natürlich könntest Du eine andere Übergangsbox nehmen, denn z.B. AVM, DrayTek und Lancom haben dieses Problem schon nicht mehr.
 
andere Übergangsbox
Bald soll es Glasfaser geben, dann fliegt die Digitalisierungsbox sowieso. Ansonsten habe ich hier einen wahren Routerpark rumliegen, wahrscheinlich werde ich, wenn es die Zeit erlaubt, die Digitalisierungsbox Basic anschließen. Bis dahin kann auch der Raspberry im Heimnetz den Dyndns-Account aktualisieren.

Schade, ich dachte diese Geräte werden noch gepflegt.
 
Die Geräte werden noch gepflegt, und ich hatte bisher noch keine Probleme mit meinen DynDNS - Anbietern.
 
OK, ich nehme alles zurück und behaupte das Gegenteil :)

Im Ernst: Auch mit anderen Clients erscheint obige Fehlermeldung, wie ein Test ergab. Dann liegt das wohl nicht an der Digitalisierungsbox sondern am Provider. Der erzeugt diese in die Irre führende Fehlermeldung wenn man ohne Verschlüsselung aktualisiert. Das führt zu der Frage, wie man der Digitalisierungsbox beibringt, über https zu aktualisieren? Einfach Port 443 eintragen?
 

Ja. Da hat sich was geaendert: Wir haben die Unterstuetzung fuer alte TLS-Versionen deaktviert gehabt. Denn sowas wie TLS 1.0 ist uralt. Viele Endgeraete kamen mit der Abschaltung dieser alten TLS-ersionen nicht klar. Das wurde nun entsprechend rueckgaengig gemacht. Nun bekommen Sie eine entsprechende Meldung. (Auch wird am SPDYN-Dienst weiterhin gearbeitet) Kurz: Das ist ein Problem des Client selbst.
 
Das führt zu der Frage, wie man der Digitalisierungsbox beibringt, über https zu aktualisieren? Einfach Port 443 eintragen?
In der bintec be.IP plus gibt es dafür eine zusätzliche Auswahl " HTTPS/SSL" sowie die Möglichkeit der "Zertifikatsüberprüfung".
 
Momentan aktualisiert die Box auf Port 80, was wohl unverschlüsselt bedeutet. Die Fehlermeldung ist die gleiche wie beim ddclient unter Linux, wenn man nicht ssl=yes in der ddclient.conf stehen hat. Nach Eintrag von ssl=yes klappt alles ohne Fehlermeldung.
zusätzliche Auswahl " HTTPS/SSL"
Danach suche ich noch. Ein Video erklärt die Einrichtung mit Update-Token, das möchte ich aber nicht weil das dann für alle Hosts gilt und einige Router das nicht können.

Edit: Ich habe was gefunden: https://telekomhilft.telekom.de/t5/...NS-via-HTTPS/m-p/3293323/highlight/true#M8995
Zitat: "nach dem aktuellen Stand wird DynDNS über HTTPS nicht unterstützt." Prima :(
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.