FRITZ!Box 7490 07.24 Labor Serie

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,765
Punkte für Reaktionen
1,261
Punkte
113
wenn der Router schon längere Zeit EOS ist?
Das verstehe ich wieder nicht ... wenn der Router schon EOS ist, warum kriegt der dann noch das Update, was HTTPS im LAN obligatorisch macht?
 

Karl.

Aktives Mitglied
Mitglied seit
18 Jul 2019
Beiträge
834
Punkte für Reaktionen
107
Punkte
43
@PeterPawn
Da habe ich mich wohl unklar ausgedrückt:
Wenn ich heute einen Router habe, bei dem die GUI default HTTPS ist, läuft irgendwann das Zertifikat ab und es gibt eine Browserwarnung, evtl. geht auch irgendwann ein neuer Browser gar nicht mehr, ähnlich wie bei älteren Speedports.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,765
Punkte für Reaktionen
1,261
Punkte
113
Wenn das irgendwie Sinn machen soll, MUSS der Router sich ja das Zertifikat selbst besorgen (ACME-Protokoll, z.B. Let's Encrypt) oder es auch selbst ausstellen (self-signed, so macht es AVM ja im Moment, wenn es keinen MyFRITZ!-Account gibt) oder es tatsächlich "ab Werk" schon haben, dann aber auch wieder ein "individuelles" (mit einem eigenen, anderen unbekannten, privaten Key), wie das z.B. in der DOCSIS-Spezifikation geregelt ist (wo ein CM (Cable Modem) ja auch dem CMTS (Cable Modem Terminal System) des Providers das eigene Zertifikat präsentiert). Eine vierte Option ist das Verwenden eines Zertifikats (und eines Keys), den der Benutzer bereitgestellt hat - dann nimmt der Router halt auch dieses und die Verantwortung für alles weitere lastet auf dem Benutzer (gibt es im FRITZ!OS ja auch als Option). Nur bei Variante 3 gäbe es aber eine zeitliche Limitierung für das Zertifikat, bei allen anderen kann eine Aktualisierung erfolgen (1+2) oder der Benutzer ist verantwortlich (4).

Und bei einem Zertifikat (bzw. einem "Schlüsselpaar" - was immer noch blöd ist im Deutschen, denn das, was einen öffentlichen Schlüssel ausmacht, ist eine Teilmenge der Informationen in einem privaten) spricht auch nichts Absolutes gegen eine längere Gültigkeit (auch wenn's nicht unbedingt "best practice" ist und öffentliche PKI das per Policy i.d.R. ausschließen), solange die Schlüssellänge und Hash-Algorithmen immer noch den aktuellen Anforderungen entsprechen. Die begrenzte Gültigkeit in öffentlicher PKI ist ja üblicherweise auch dafür gedacht, mit dem technischen Fortschritt mitzuhalten und nicht heute (praktisch wissentlich) schon Zertifikate für 2030 auszustellen, wo der Konsens, was als weiterhin sicher gilt, wohl auch ein anderer sein wird. Kryptologen befassen sich ja heute schon mit "post-quantum cryptography".

Aber eigentlich wird ja bei TLS nicht das (zertifizierte) Schlüsselpaar für die (Massen-)Verschlüsselung der übertragenen Daten verwendet (was dann tatsächlich zum Problem werden könnte, wenn es zuviele "Samples" gibt, die mit demselbem Key verschlüsselt wurden), sondern im Rahmen eines Schlüsselaustauschs werden zufällige Keys erzeugt und nur deren Austausch wird mit dem zertifizierten Schlüsselpaar gesichert.

Diese zufälligen Keys werden dann (wenn sie tatsächlich "langlebiger" sind, wie bei VPN-Verbindungen) auch nach einer gewissen Zeit oder nach einer damit verschlüsselten Datenmenge gewechselt - wobei ich gerade nicht beschwören will, wie das bei älteren TLS-Verbindungen läuft, die HTTP tunneln. Bei TLS 1.3 gibt es zumindest solche Updates in der Spezifikation: https://tools.ietf.org/html/rfc8446#section-4.6.3 - iirc aber auch erst seit dieser Version.

Wenn der technische Fortschritt so ein Gerät irgendwann überrollt, ist das halt Schicksal ... wenn irgendwann alle Browser nur noch HTTP2 sprechen und HTTP 1.0 bzw. 1.1 nicht mehr unterstützen wollen, ist man bei HTTP (also auch ohne TLS) genauso erschossen.

Trotzdem ist "einfach TLS auch im LAN nutzen" schon ein spannendes und durchaus schwierig (für alle Gelegenheiten) umzusetzendes Themenfeld - auch/weil wenn es dort durchaus ein paar Tretminen gibt. Vielleicht schaffe ich es ja irgendwann auch mal, die Verwendung von TLS durch AVM etwas ausführlicher zu beschreiben ... denn da gibt es durchaus ein paar interessante Punkte, die es zu lösen galt und wo man auch darüber diskutieren kann, ob die von AVM gewählten Lösungen immer die besten sind (oder auch nur die praktikabelsten) und was das für Vor- und Nachteile hat.

Das geht schon damit los, wie man als Benutzer der TR-064-Schnittstelle auf Port 49443 eigentlich sicher sein kann, daß man auch tatsächlich mit der richtigen FRITZ!Box kommuniziert, wenn man sich - mit "basic auth", was bei Zugriff auf den Klartext der Kommunikation ja direkt Benutzernamen und Kennwort offenlegt - ihr gegenüber authentifizieren soll und was es da für Optionen gäbe. Spätestens dann, wenn ein TLS-Zugriff sowohl von der LAN- als auch von der WAN-Seite einer FRITZ!Box mit denselben (Client-)Einstellungen funktionieren soll, wird das sehr spannend (bis hin zum NAT-Hairpinning). Aber das ist tatsächlich ein weites Feld und eher ein Thema für einen anderen Thread ... zumal es AVM eigentlich auf allen Modellen gleich behandelt, auch wenn sich das mit der Firmware-Version ab und an mal ändert.
 
  • Like
Reaktionen: HabNeFritzbox

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
667
Punkte für Reaktionen
96
Punkte
28
HTTPS funktioniert bereits von intern per Firefox-Sicherheitsausnahme, so wie ich es es auch für den externen Zugriff machen muss, weil ich kein LE-Zertifikat bekommen kann.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
Wenn du einen Namen wie google.de in die Adresszeile eines Browsers eingibst bekommst du was? >>---> https://
Wenn du fritz.box in die Adresszeile eingibst bekommst du was? >>---> http://
...dass meine ich mit: Standard
Bildschirmfoto vom 2021-04-10 14-39-43.png
Nur wenn ich explizit HTTPS voranstelle wird mir suggeriert, dass das böse böse böse ist.
 
Zuletzt bearbeitet:

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
667
Punkte für Reaktionen
96
Punkte
28
Das wäre wegen der vielen mürrischen Browser sehr kontraproduktiv und ich würde das als Schikane empfinden.
Wenn für fritz.box ein gültiges Zertifikat wie für google.de existiert*, wäre das für mich ok. Bis dahin sei bitte vorsichtig mit deinen Wünschen.

* nie
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
OK, ich gebs auf und nutze HTTPS nur für mich privat und explizit.
Am liebsten würd ich mir alles selber programmieren, aber meine Lebenzeit reicht nicht dafür aus.
Komischerweise gehts ja auch für TR-064 ohne Meckereien...
10.04.21 14:47:12|main|INFO|FritzBox - https://192.168.188.1:49443
...wie es JFritz macht, zum Beispiel.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Und was hat ganze mit der Labor zutun? Was hat sich in Labor geändert wegen dem Cert?

Mir ist da nichts neues bekannt, LE gibts seitens FB derzeit nur mit MyFritz Account, und dann auch nur für deren Hostnamen.

Wer aktuell ein Cert möchte mit eigenen Hostnamen, der muss sich entweder eines kaufen, diese sind neuerdings auch nur noch max. 1 Jahr gültig, oder man importiert dort alle 3 Monate Cert von LE, was man sich anderweitig erzeugen muss.

Ein Cert für fritz.box gibt es von keiner CA, dieses gibt es ausschließlich selbst signiert mit entsprechender Warnung im Browser.

Besser sonst im extra Thema.
 
Zuletzt bearbeitet:

On Fire

Neuer User
Mitglied seit
1 Feb 2021
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Ich bin vor zwei Wochen auf die 7590 gewechselt als Mesh Master und hatte bis gestern 22:00 die 7490 als Repeater mit der letzten Laborversion am laufen. Dann plötzlich der Totalausfall, kein WLAN Empfang mehr und die Box war nicht mehr über WLAN erreichbar. Nach der ersten Stromtrennung war das WLAN erreichbar, aber hakelig. Nach der zweiten Stromtrennung lief sie dann wieder stabil und war über LAN erreichbar um auf die Offizielle 7.21 downzugraden.
Das letzte Laborupdate war 2-3 Tage zuvor, ich denke es hängt damit zusammen.
Die 7590 (7.25) und zwei Repeater 2400 (aktuelle Labor) arbeiteten während des Ausfalls ohne Probleme..
 

Zurzeit aktive Besucher

Keine Mitglieder online.
3CX

Statistik des Forums

Themen
237,889
Beiträge
2,102,399
Mitglieder
360,392
Neuestes Mitglied
MoveJoe

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via