die einzig machbare und derzeit brauchbare Lösung dafür ist IMHO letsencrypt (wie man das realisiert eine andere frage..)
Ob das notwendig ist dann die zweite Frage, weil das ist schon Paranoia++ im heimischen LAN die Visu per TLS zu verschlüsseln..
(keine Frage: extern macht das Sinn! da greift aber eh bitte OpenVPN&co - oder eben letsencrypt + AAA problemlos)

Im internen LAN würde ich es schlicht versuchen zu umgehen! denn was die CPU's beider Gesprachspartner an Strom brauchen, alleine um vom KG ins EG 2x verschlüsselt (wir nehmen mal Wlan/WPA2 an) im heimischen LAN (!) 2xAES 256 miteinander den ganzen Tag zu reden: damit kann man per Spende vermutlich einen Pandabären retten und 1/100000 AKW einsparen (oder was auch immer sinnvolleres vollbringen)
Die banale Visu ist ja jetzt im Regelfall nicht VS-G (Verschlussache-Geheim und da würde TLS eh nicht genügen, nichtmal für VS-NfD)
Also ich als Security-Paranoia-Typ vote für: umgehen, das ist albern.

Makki

Natürlich ist das albern - aber erzähl das mal dem Google, der dann Features im Browser sperrt, die man gerne nutzen möchte...

Du kannst Letsencrypt auf irgend einem richtigen Host laufen lassen und anschließend dir per rsync die zertifikate + keys kopieren.

Grüße

Also aus der täglichen Erfahrung in der Firma würde ich das mit ssc's (self signed certificates) machen.. beim installieren entweder eine ca und ein cert erzeugen oder ein gegebenes nutzen. Dann musst halt die ca einmalig als trusted ca importieren und dann hast das Problem gelöst kann man recht intuitiv machen (unsere Büro Leute kriegen das sogar hin ^^)

Das Problem mit eigener CA auf dem Telefon ist aber je nach OS kompliziert, oft muss man die tatsächlich per USB kopieren wenn die vom Mail Program blockiert wird.

Warum so kompliziert ? Dass ca cert kannst doch von einer http connection runter laden ^^

Aber für welche Domain?

wiregate.fritz.box? Ich glaube (= heißt nicht wissen), dass das bei Let's Encrypt nicht durchgeht.

Jede für die du ein Zertifikat bekommst, dann installierst dir in deinem LAN noch einen eigenen DNS server der dann für Requests von zu Hause die entsprechende 192.168.x.x deines wiregates liefert. während der letsencrypt die IP des richtigen Hosts sieht. ... Langsam glaube ich du solltest wirklich self signed verwenden.
Ich betreibe nen eigenen dynamic DNS dienst für den ich Problemlos certifikate bekomme, bleibt noch die Sache mit der IP im Lan.

Das Problem / unsaubere ist doch das du mit deinem dns eine public domain verdeckst und das du zwingend diese Domain besitzen musst (also z.B wiregate.Fritz.box wirst du nie lizensieren können mit lets encrypt)...

Hallo zusammen,

die Sache ist tatsächlich brandaktuell, insbesondere durch die fortschreitenden Bestrebungen der Browserhersteller zunehmend TLS für die Nutzung bestimmter Funktionen zu fordern.

Die Lösung richtet sich danach, wie schwer / leicht es für den Endanwender werden soll. Wer die Kenntnisse und das Wissen von Caesium hat, kann es so machen, viele manuelle, aufeinander abgestimmte Schritte die umfangreiche Kenntnisse erfordern. Für die Mehrzahl der Anweder ist das nichts, die wünschen sich das am Besten vollautomatisch. Allerdings ist der letztere Weg - also vollautomatisch - gleichzeitig der anstrengenste.

Für den Timberwolf Server (zumindest für die besseren Versionen) ist angedacht, dass wir dies weitestgehend automatisieren, der Kunde muss da kaum etwas tun.

Für diejenigen, die ein wenig mehr Details wünschen, hier eine Kurzbeschreibung:

• Für die Anmeldung am Timerwolf Server liefern wir Hardware-Token aus, die für die Anmeldung benutzt werden müssen, damit wird der Prozess prinzipiell abgesichert. Die folgenden Schritt können nur von "innen" vorgenommen werden.
• Es gibt ein einfache Setup-Seite, in der man den Hostnamen und die Domäne angeben kann.
• Wir werden dafür eine Reihe von vorgegebenen Domäns im Angebot haben, aus der leicht gewählt werden kann, ansonsten wird man aber auch seine Domäne völlig frei angeben können.
• Lokal wird dann der Keypair mit HW-RNG erzeugt und der Public-Key zu einer CA hochgeladen, welche die Signatur übernimmt, Das Zertifikat wird dann anschließend heruntergeladen und installiert.
• Wer unsere vorgegebenen Domänen benutzt, hat dann - per Knopfdruck - auch den Dyn-DNS dazu, ansonsten muss man eben seinen eigenen DYN-DNS-Dienst nutzen.
• Nun muss der Kunde entweder ein Static-NAT nebst Freigabe in seiner Firewall anlegen oder es wird unser Timberwolf-VPN-Dienst benutzt, der über eine Cloud-Komponente eine Verbindung herstellt.

Ein Server für das Smarthome muss 10 bis 20 Jahre halten, das ist auch unser wichtigstes Entwicklungsziel gewesen. Solche Features - wie mehrmaliges automatisches Ausrollen von SSL/TLS-Zertifikaten während der Lebensdauer - ist anstrengend und kostenintensiv. Daher wird das auch einen entsprechenden Wartungsvertrag erforderlich machen.

lg

Stefan

Nur nochmal als Anmerkung, es gibt mehrere Möglichkeiten sich gegenüber einer CA wie Letsencrypt zu authentifizieren, unter anderem funktioniert das auch über DNS Records. Will heißen man muss keinen Port ins Internet freigeben damit die CA auf die Domain zugreifen kann. Der Token kann auch als TXT Record beim Domainanbieter hinterlegt werden. Das ganze lässt sich auch recht gut automatisieren.

Kleiner Nachtrag: seit dem letzten Update hat der Chromium übrigens einen kompletten Schuss bzw. Träller unterm Pony - wie ich es bezeichnen würde.
Security ist ja alles schön und gut, HSTS usw.usf. aber wenn man keine Ausnahmen mehr definieren kann (ja, es liegt eigentlich nicht am Chrome, sondern daran das die CA's und Admins doof sind!)
Aber wenn ich Amazon.de nicht mehr aufmachen kann ("echtes" IPv6 kommt hier vermutlich erschwerend hinzu) dann habens beide verk*, Chrome und Amazon..
Kann ja wohl nicht wahr sein! (Dasselbe trifft einen auch - zwangsweise in Defaultconfig! wenn man jetzt ein super-gutes Zertifikat für die CV / IPv4 hat im LAN..)

Ich benutze seit 2W (zwangsläufig) wieder vermehrt FF und 1x sogar IE

Makki

Ja, der Wahnsinn verdichtet sich. Inzwischen heißt es, dass man Service Workers statt dem AppCache nutzen soll. Bei der Google Doku dazu steht unter https://developers.google.com/web/fu...ervice-workers :
=> Wir werden einen Weg brauchen, der in unseren lokalen, geschützten Umgebungen (meist) ohne Administrator dennoch automatisch ein Zertifikat erstellt, dass die Browser nativ akzeptieren

Hallo,
dieser Threads ist zwar schon etwas älter, aber passt zu meiner Frage.
Ich würde gerne mein WireGate auch auf SSL umstellen.
Ich habe versucht per Google eine Lösung zu finden.
Wie muss die lighttpd.conf erweitert werden? Hat jmd zufällig eine Anleitung, was zu tun ist?
Gerne würde ich ein LetsEncrypt Zertifikat verwenden. Als Domain in meinem LAN verwende ich eine "öffentliche" Domain, für die auf meinem Router bereits ein Wildcard - LE -Zertifikat vorhanden ist. Sollte die ACME Einrichtung auf dem wiregate aufwändig sein, könnte das LE-Zertifikat per rsync o.ä. kopiert werden.

Mir ist bewusst, dass der TimberWolf bereits mit SSL Zertifikat ausgeliefert wird.
Ich möchte aber gerne mein WireGate dennoch versuchen dahin zu erweitern.

Viele Grüße
Alex