Ankündigung

Einklappen
Keine Ankündigung bisher.

HTTPS bzw. SSL

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [wiregate] HTTPS bzw. SSL

    Hallo zusammen,

    inzwischen wird ja immer stärker das Thema HTTPS gepusht. Das geht nun sogar so weit, dass die Browser Hersteller drohen gewisse HTML Features nur noch zu unterstützen, wenn eine Seite per HTTPS übertragen wurde.
    (Beispiel: die CometVisu nutzt den Appcache - hier meldet Chrome nun auf der Konsole beim Start der Seite "Use of the Application Cache is deprecated on insecure origins. Support will be removed in the future. You should consider switching your application to a secure origin, such as HTTPS. See https://goo.gl/rStTGz for more details.")

    => Es wird Zeit demnächst den Web-Server auf HTTPS zu konfigurieren.

    Grundsätzlich kann das der verwendete Lighttpd auch locker, es muss nur aktiviert werden. Aber dazu braucht der ein Zertifikat - und genau da liegt das Problem:

    Welches Zertifikat nutzen?
    • Ein selbst signiertes geht natürlich - braucht aber einen Import auf jedem Client. Unschön.
    • Ein extern signiertes gibt's inzwischen kostenlos, z.B. bei Let's Encrypt. Aber dazu braucht man eine vom Internet aus zugreifbare Domain ("meins.dyndns.org") mit entsprechender Weiterleitung im Router auf das Wiregate.
      -> Auch keine Lösung, da dann jeder auf das WireGate zugreifen kann. Und bei der empfohlenen Nutzung per VPN kommt natürlich Let's Encrypt von außen nicht drauf.
    • Ein extern signiertes für die interne Domain (bei mir "wiregate.fritz.box") wäre wohl die beste Lösung - außer dass es das wohl nicht gibt...

    Hat sonst noch jemand Ideen?
    Wie bekommen wir das Problem gelöst?
    TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

    #2
    die einzig machbare und derzeit brauchbare Lösung dafür ist IMHO letsencrypt (wie man das realisiert eine andere frage..)
    Ob das notwendig ist dann die zweite Frage, weil das ist schon Paranoia++ im heimischen LAN die Visu per TLS zu verschlüsseln..
    (keine Frage: extern macht das Sinn! da greift aber eh bitte OpenVPN&co - oder eben letsencrypt + AAA problemlos)

    Im internen LAN würde ich es schlicht versuchen zu umgehen! denn was die CPU's beider Gesprachspartner an Strom brauchen, alleine um vom KG ins EG 2x verschlüsselt (wir nehmen mal Wlan/WPA2 an) im heimischen LAN (!) 2xAES 256 miteinander den ganzen Tag zu reden: damit kann man per Spende vermutlich einen Pandabären retten und 1/100000 AKW einsparen (oder was auch immer sinnvolleres vollbringen)
    Die banale Visu ist ja jetzt im Regelfall nicht VS-G (Verschlussache-Geheim und da würde TLS eh nicht genügen, nichtmal für VS-NfD)
    Also ich als Security-Paranoia-Typ vote für: umgehen, das ist albern.

    Makki
    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
    -> Bitte KEINE PNs!

    Kommentar


      #3
      Natürlich ist das albern - aber erzähl das mal dem Google, der dann Features im Browser sperrt, die man gerne nutzen möchte...
      TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

      Kommentar


        #4
        Du kannst Letsencrypt auf irgend einem richtigen Host laufen lassen und anschließend dir per rsync die zertifikate + keys kopieren.

        Grüße

        Kommentar


          #5
          Also aus der täglichen Erfahrung in der Firma würde ich das mit ssc's (self signed certificates) machen.. beim installieren entweder eine ca und ein cert erzeugen oder ein gegebenes nutzen. Dann musst halt die ca einmalig als trusted ca importieren und dann hast das Problem gelöst kann man recht intuitiv machen (unsere Büro Leute kriegen das sogar hin ^^)
          Hans Martin

          Problem? "Verstehe das Problem!"

          Kommentar


            #6
            Das Problem mit eigener CA auf dem Telefon ist aber je nach OS kompliziert, oft muss man die tatsächlich per USB kopieren wenn die vom Mail Program blockiert wird.

            Kommentar


              #7
              Zitat von Caesium Beitrag anzeigen
              Das Problem mit eigener CA auf dem Telefon ist aber je nach OS kompliziert, oft muss man die tatsächlich per USB kopieren wenn die vom Mail Program blockiert wird.
              Warum so kompliziert ? Dass ca cert kannst doch von einer http connection runter laden ^^
              Hans Martin

              Problem? "Verstehe das Problem!"

              Kommentar


                #8
                Zitat von Caesium Beitrag anzeigen
                Du kannst Letsencrypt auf irgend einem richtigen Host laufen lassen und anschließend dir per rsync die zertifikate + keys kopieren.
                Aber für welche Domain?

                wiregate.fritz.box? Ich glaube (= heißt nicht wissen), dass das bei Let's Encrypt nicht durchgeht.
                TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

                Kommentar


                  #9
                  Jede für die du ein Zertifikat bekommst, dann installierst dir in deinem LAN noch einen eigenen DNS server der dann für Requests von zu Hause die entsprechende 192.168.x.x deines wiregates liefert. während der letsencrypt die IP des richtigen Hosts sieht. ... Langsam glaube ich du solltest wirklich self signed verwenden.
                  Ich betreibe nen eigenen dynamic DNS dienst für den ich Problemlos certifikate bekomme, bleibt noch die Sache mit der IP im Lan.

                  Kommentar


                    #10
                    Das Problem / unsaubere ist doch das du mit deinem dns eine public domain verdeckst und das du zwingend diese Domain besitzen musst (also z.B wiregate.Fritz.box wirst du nie lizensieren können mit lets encrypt)...
                    Hans Martin

                    Problem? "Verstehe das Problem!"

                    Kommentar


                      #11
                      Hallo zusammen,

                      die Sache ist tatsächlich brandaktuell, insbesondere durch die fortschreitenden Bestrebungen der Browserhersteller zunehmend TLS für die Nutzung bestimmter Funktionen zu fordern.

                      Die Lösung richtet sich danach, wie schwer / leicht es für den Endanwender werden soll. Wer die Kenntnisse und das Wissen von Caesium hat, kann es so machen, viele manuelle, aufeinander abgestimmte Schritte die umfangreiche Kenntnisse erfordern. Für die Mehrzahl der Anweder ist das nichts, die wünschen sich das am Besten vollautomatisch. Allerdings ist der letztere Weg - also vollautomatisch - gleichzeitig der anstrengenste.

                      Für den Timberwolf Server (zumindest für die besseren Versionen) ist angedacht, dass wir dies weitestgehend automatisieren, der Kunde muss da kaum etwas tun.

                      Für diejenigen, die ein wenig mehr Details wünschen, hier eine Kurzbeschreibung:
                      • Für die Anmeldung am Timerwolf Server liefern wir Hardware-Token aus, die für die Anmeldung benutzt werden müssen, damit wird der Prozess prinzipiell abgesichert. Die folgenden Schritt können nur von "innen" vorgenommen werden.
                      • Es gibt ein einfache Setup-Seite, in der man den Hostnamen und die Domäne angeben kann.
                      • Wir werden dafür eine Reihe von vorgegebenen Domäns im Angebot haben, aus der leicht gewählt werden kann, ansonsten wird man aber auch seine Domäne völlig frei angeben können.
                      • Lokal wird dann der Keypair mit HW-RNG erzeugt und der Public-Key zu einer CA hochgeladen, welche die Signatur übernimmt, Das Zertifikat wird dann anschließend heruntergeladen und installiert.
                      • Wer unsere vorgegebenen Domänen benutzt, hat dann - per Knopfdruck - auch den Dyn-DNS dazu, ansonsten muss man eben seinen eigenen DYN-DNS-Dienst nutzen.
                      • Nun muss der Kunde entweder ein Static-NAT nebst Freigabe in seiner Firewall anlegen oder es wird unser Timberwolf-VPN-Dienst benutzt, der über eine Cloud-Komponente eine Verbindung herstellt.

                      Ein Server für das Smarthome muss 10 bis 20 Jahre halten, das ist auch unser wichtigstes Entwicklungsziel gewesen. Solche Features - wie mehrmaliges automatisches Ausrollen von SSL/TLS-Zertifikaten während der Lebensdauer - ist anstrengend und kostenintensiv. Daher wird das auch einen entsprechenden Wartungsvertrag erforderlich machen.

                      lg

                      Stefan
                      Stefan Werner, Geschäftsführer Elaborated Networks GmbH.
                      Bitte keine PNs. Allg. Fragen ins Forum. Eilige od. wichtige an support ät wiregate.de
                      Alle Informationen und Aussagen nach bestem Wissen und Gewissen. IMPRESSUM

                      Kommentar


                        #12
                        Nur nochmal als Anmerkung, es gibt mehrere Möglichkeiten sich gegenüber einer CA wie Letsencrypt zu authentifizieren, unter anderem funktioniert das auch über DNS Records. Will heißen man muss keinen Port ins Internet freigeben damit die CA auf die Domain zugreifen kann. Der Token kann auch als TXT Record beim Domainanbieter hinterlegt werden. Das ganze lässt sich auch recht gut automatisieren.

                        Kommentar


                          #13
                          Kleiner Nachtrag: seit dem letzten Update hat der Chromium übrigens einen kompletten Schuss bzw. Träller unterm Pony - wie ich es bezeichnen würde.
                          Security ist ja alles schön und gut, HSTS usw.usf. aber wenn man keine Ausnahmen mehr definieren kann (ja, es liegt eigentlich nicht am Chrome, sondern daran das die CA's und Admins doof sind!)
                          Aber wenn ich Amazon.de nicht mehr aufmachen kann ("echtes" IPv6 kommt hier vermutlich erschwerend hinzu) dann habens beide verk*, Chrome und Amazon..
                          Kann ja wohl nicht wahr sein! (Dasselbe trifft einen auch - zwangsweise in Defaultconfig! wenn man jetzt ein super-gutes Zertifikat für die CV / IPv4 hat im LAN..)

                          Ich benutze seit 2W (zwangsläufig) wieder vermehrt FF und 1x sogar IE

                          Makki
                          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                          -> Bitte KEINE PNs!

                          Kommentar


                            #14
                            Ja, der Wahnsinn verdichtet sich. Inzwischen heißt es, dass man Service Workers statt dem AppCache nutzen soll. Bei der Google Doku dazu steht unter https://developers.google.com/web/fu...ervice-workers :
                            During development you'll be able to use service worker through localhost, but to deploy it on a site you'll need to have HTTPS setup on your server.
                            [...]
                            To avoid this, you can only register service workers on pages served over HTTPS
                            => Wir werden einen Weg brauchen, der in unseren lokalen, geschützten Umgebungen (meist) ohne Administrator dennoch automatisch ein Zertifikat erstellt, dass die Browser nativ akzeptieren
                            TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

                            Kommentar


                              #15
                              Hallo,
                              dieser Threads ist zwar schon etwas älter, aber passt zu meiner Frage.
                              Ich würde gerne mein WireGate auch auf SSL umstellen.
                              Ich habe versucht per Google eine Lösung zu finden.
                              Wie muss die lighttpd.conf erweitert werden? Hat jmd zufällig eine Anleitung, was zu tun ist?
                              Gerne würde ich ein LetsEncrypt Zertifikat verwenden. Als Domain in meinem LAN verwende ich eine "öffentliche" Domain, für die auf meinem Router bereits ein Wildcard - LE -Zertifikat vorhanden ist. Sollte die ACME Einrichtung auf dem wiregate aufwändig sein, könnte das LE-Zertifikat per rsync o.ä. kopiert werden.

                              Mir ist bewusst, dass der TimberWolf bereits mit SSL Zertifikat ausgeliefert wird.
                              Ich möchte aber gerne mein WireGate dennoch versuchen dahin zu erweitern.

                              Viele Grüße
                              Alex
                              Gruß
                              alexbeer

                              Kommentar

                              Lädt...
                              X