Internetbox 2 SSL

@mabu1 weil das WEB GUI nur über eine Privatnetzwerkadresse erreichbar ist, aber vielleicht kann @Anonym eine Antwort geben warum das so ist.

@user109 Das ist mir bewusst, jeddoch in der heutigen Zeit eine unverschlüsselte Funkverbindung zu haben - ist generell - ein Sicherheitsrisiko. So müsste die Verschlüsselung für das WLAN ebenfalls nicht deaktivierbar sein, ansonsten könnte irgendjemand in meiner Nähe mein Internetbox 2 Passwort mitlesen.

Nach 7 x 24h keinen einzigen Grund warum es keine SSL Verschlüsselung WebGUI geben soll.

@Anonym

---

@mabu1 schrieb:

Aus welchem Grund hat das Webinterface der Internetbox 2 keine SSL Verschlüsselung?

Für mich ist das Ganze unverständlich.

---

Egal wie man's macht brauchts ein von einer offiziellen Stelle signiertes Zertifikat, welches mit einem bestimmten Hostnamen übereinstimmen muss. Dürfte schwierig werden.

Meldung in Firefox 52.0.1

Möglicherweise ist die oben abgebildete neue User-ärger-Meldung von Firefox 52 der Grund für diesen Thread. Dies dürfte u.A. von den Mozilla-Entwicklern eingeführt worden sein, um das von ihnen mitgetragene Projekt letsencrypt.org zu pushen. Was auch immer man davon hält, aber völlig Unrecht haben die Jungs nicht. Einige Router werden mit vorinstalliertem selbstsigniertem Zertifikat ausgeliefert, was dann zur Folge hat dass man eine Warnung wegen des ungültigen Certs wegklicken muss. Also auch keine elegante Lösung. Also was tun? Letsencrypt-Zertifikate verwenden? Oder selbstsignierte Certs erzeugen und diese per DANE im routerinternen DNS hinterlegen? Hat jemand noch eine weitere Idee? Wäre ein spannendes Thema...

Hi ... 🙂

Ich hab's - wenn auch noch nicht ganz zufriedenstellend - folgendermassen gelöst ...

Bedingung:

1) Eigene Domain

2) entweder bei einem Provider oder aber ein NAS (ich benutze die DS216+II) hinter dem Router, die "Let's encrypt" unterstützen.

Ist im Endeffekt egal. Prinzip ist, dass für die eigene Domain (myname.ch) eine Subdomain (z.B. ich.myname.ch) angelegt wird. Für diese Subdomain wird dann einerseits das Zertifikat erstellt und eingetragen und zum anderen wird für diese Subdomain ein CNAME-Eintrag erstellt, der auf die DynDNS-Adresse des Routers (z.B. myname.internet-box.ch) verweist.

Jetzt ist bei mir alles über https erreichbar ohne Fehlermeldungen der Browser.

Lg, Hendrik

Mit der Version 56 beim Firefox habe ich diese Meldung nicht mehr !

---

@duffy schrieb:

Hi ... 🙂

 

Ich hab's - wenn auch noch nicht ganz zufriedenstellend - folgendermassen gelöst ...

Bedingung:

1) Eigene Domain

2) entweder bei einem Provider oder aber ein NAS (ich benutze die DS216+II) hinter dem Router, die "Let's encrypt" unterstützen.

Ist im Endeffekt egal. Prinzip ist, dass für die eigene Domain (myname.ch) eine Subdomain (z.B. ich.myname.ch) angelegt wird. Für diese Subdomain wird dann einerseits das Zertifikat erstellt und eingetragen und zum anderen wird für diese Subdomain ein CNAME-Eintrag erstellt, der auf die DynDNS-Adresse des Routers (z.B. myname.internet-box.ch) verweist.

Jetzt ist bei mir alles über https erreichbar ohne Fehlermeldungen der Browser.

 

Lg, Hendrik

 

---

Wird bei der Internet Box noch schwierig wenn auf 443 nichts läuft oder?

---

@WalterB schrieb:

Mit der Version 56 beim Firefox habe ich diese Meldung nicht mehr !

---

Bravo!

Thema nicht verstanden 🙂

---

@Tux0ne schrieb:

---

@WalterB schrieb:

Mit der Version 56 beim Firefox habe ich diese Meldung nicht mehr !

---

Bravo!

Thema nicht verstanden 🙂

---

Es geht um diese Meldung weiter oben, es hat indirekt nicht mit der Problemlösung zu tun, war aber Nervend und das nur mit dem Firefox !!

Ja? Hät ich nicht gedacht...

---

@Anonym schrieb:

Das UI ist nur im Heimnetz ansprechbar. Wer sein WLAN unverschlüsselt überträgt, dem kann ich auch nicht helfen. 😉 Und wir müssten ein Zertifikat für jeden Router haben. Ein riesiger Aufwand für 0 Mehrwert.

---

Ja genau. Spätestens seit 51 Tagen gäbe es einen Grund mehr.

Ich bin ganz und gar nicht mit der Antowort von GuidoT einverstanden:

- Der Feind lauert im eigenen Netz (wie viele IoT Geräte hat man heute im Heimnetz deren Sicherheit angezweifelt werden darf und muss? Selbst Handies von gewissen Herstellern sind nicht über alle Verdachte erhaben...

- Meine Kinder kommen langsam in ein Alter wo sie auch Wireshark kennen könnten. Dann ist nichts mehr mit "Parental Control" (ach sorry, das sollte ja eigentlich nur WLAN-Timer heissen aber das ist eine andere Story)

- Best Practice ist IMMER eine verschlüsselte Kommunikation. Wie handhabt das Swisscom in ihrem Intranet wohl? Auch unverschlüsselte Login?

- Die Antwort mit "da braucht man ein Zertifikat" ist m.E. nur eine Ausrede. Selbstsignierte Zertifikate (wären eine kurzfristige Lösung), die Möglichkeit ein eigenes Zertifikat zu installieren eine Andere.

In dem Sinne, erwarte ich "Schweizer Qualität, Schweizer Sicherheit, Verschlüsselte Passwortübertragung".

Hallo Zusammen

Ein offizielles Zertifikat ist eigentlich nicht nötig. Nicht mal eines, das mit dem Hostnamen der Internet Box übereinstimmt. Ein selbstsigniertes, "factory" Zertifikat reicht völlig.

Hauptsache die Box ist via https(z.B. auf Port 443) erreichbar.

Natürlich ist eine Zertifikatswarnung keine schöne Sache, aber bei der Administration von Geräten im heimischen Netz zweitranging. Die Sicherheit der Verschlüsselung leidet dadurch nicht.

Aber wie Tux0ne schreibt: "Wird bei der Internet Box noch schwierig wenn auf 443 nichts läuft oder?"

Und mir geht es wie Novice: Auf die WLAN-Verschlüsselung alleine will ich mich nicht verlassen, resp. kann ja auch im kabelgebundenen LAN ein bösartiger Lauscher sein.

Ich habe soeben mit der MyService Hotline von Swisscom telefoniert: Leider scheint die Dame, die mich betreut hat das Problem nicht zu begreifen. Wenigstens konnte ich die Sache als Funktionswunsch loswerden.

> Hauptsache die Box ist via https(z.B. auf Port 443) erreichbar.

Genau. Und dann kann man sich das Zertifikat speichern, und weiss beim nächsten Mal, dass man wieder mit dem eigenen Router spricht, und nicht mit einer bösartigen Website. Und dass die (Zugangs-)Daten von einem passiven Lauscher nicht abgehört werden können.

> Die Antwort mit "da braucht man ein Zertifikat" ist m.E. nur eine Ausrede. Selbstsignierte Zertifikate (wären eine kurzfristige Lösung), die Möglichkeit ein eigenes Zertifikat zu installieren eine Andere.

Richtig.

Mir scheint es, als ob das entsprechende technische Wissen nicht vorhanden ist bei der Swisscom. Oder dass "Features" wichtiger sind als Sicherheit, statt dass Sicherheit Grundhygiene ist. Man kann sich nur vorstellen, wie das Unternehmen mit ihren anderen Daten umgeht, und wie (un)sicher diese gespeichert sind...

Aus genau solchen Gründen vertraue ich z.B. Google / Microsoft / Apple, die ihre Sicherheit und die Sicherheit der Benutzer einiges ernster nehmen als die Swisscom. Beim "Google Nest WiFi-Router" kann man zum Beispiel nur via HTTPS zugreifen, um das Gerät zu administrieren. Und das ohne sich um eigene Zertifikate zu kümmern. Einfach eine schlauere Architektur, oder eben, fähigere Entwickler / Manager ¯\_(ツ)_/¯

Ist diese Basisfunktionalität (verschlüsselter Zugang zu einem Admin-Interface) noch immer nicht gelöst?

Es sollte mindestens optional eingeschaltet sein von mir aus mit einem self-signed Zertifikat wie dies bereits bei billigen Routern der Fall ist.

Noch besser wäre es, wenn man sein eigenes Zertifikat einer eigenen CA oder öffentlichen CA hinterlegen könnte.

Wenn Swisscom das Thema Sicherheit ernst nimmt, wird dies sofort implementiert. Wirklich enttäuschend diese aktuelle Internet Box.

Hoffen wir auf Besserung 😕

@Mitch17 Grundsätzlich bin ich da bei dir. Wobei man schon zugeben muss, dass der Sicherheitsgewinn durch Verschlüsselung auf dem nur lokal oder via VPN erreichbaren Web-GUI eines Heimnetzwerkrouters eher marginal ist.