Zugriff auf Fritzbox zeigt immer Zertifikatkram und verlangt Passwort
- Ersteller virk
- Erstellt am
Fallensteller
Aktives Mitglied
- Registriert
- 26.03.2007
- Beiträge
- 1.432
- Reaktionspunkte
- 402
Sorry, hatte den Sarkasmus-Tag vergessen...
tocotronaut
Aktives Mitglied
- Registriert
- 14.01.2006
- Beiträge
- 37.472
- Reaktionspunkte
- 15.569
Nein völlig Falsch.
Telekom-Bedingt ändert sich die IP Adresse alle ~190 Tage. (genauen wert weiß ich nicht aus dem kopf)
Eine 24 Stunden zwangstrennung gab es zu UrUrUralten Zeiten.
Durch VoIP wurde das limit auf ewig gesetzt.
Nicht mal die Telekom wollte nicht riskieren dass ein Telefongespräch - vielleicht sogar ein Notruf - wegen so nem quatsch unterbrochen wird.
(der Quatsch war dazu da Privatkundenanschlüsse gegenüber Firmenanschlüssen vermeintlich "schlechter" zu stellen.)
Nur wenn du in der Fritzbox die Trennung in die Nachtstunden verschoben hast macht die das natürlich täglich wie befohlen.
Aber da bist du dann selbst schuld.
Unabhängig davon hat die Trennung der Internetverbindung und die Externe IP so gar nichts mit dem lokalen Zertifikat zu tun...
virk
Aktives Mitglied
Thread Starter
- Registriert
- 14.06.2012
- Beiträge
- 828
- Reaktionspunkte
- 311
Danke Dir! Genau diese "Zwangstrennung durch den Anbieter in die Zeit xyz verschieben" war noch angehakt.
Die Zertifikate, die ich von der heimischen Fritzbox runtergeladen hatte, hatten alle die externe IP, die die Fritzbox von der Telekom bekam, "drinstehen". Nach Import in die Schlüsselbundverwaltung tauchten sie in der Liste mit der externen IP als Name auf. Daraus schloß ich wohl fälschlicherweise, daß es da einen gewissen Zusammenhang gibt.
(Doch meine ich folgende Beobachtung gemacht zu haben: Bei Zugriff über (https://)fritz.box fragt Safari immer diesen Zertifikatskram ab. Wenn ich das Zertifikat aus der Fritzbox lade und in die Schlüsselbundverwaltung importiere, geht es einen Tag lang gut bis zur nächsten Zwangstrennung, nach der die Fritzbox eine neue IP bekam. Jetzt mußte ich bei Safari entweder den Zertifikatskram erneut beantworten oder das "jetzt aktuelle" Zertifikat wieder von der Fritzbox runterladen und erneut in die Schlüsselbundverwaltung importiere und "Vertrauen" einstellen. Die alten Zertifikate in der Schlüsselbundverwaltung - namens alter Fritzbox-IP-Adressen - konnte ich löschen.)
Die Zertifikate, die ich von der heimischen Fritzbox runtergeladen hatte, hatten alle die externe IP, die die Fritzbox von der Telekom bekam, "drinstehen". Nach Import in die Schlüsselbundverwaltung tauchten sie in der Liste mit der externen IP als Name auf. Daraus schloß ich wohl fälschlicherweise, daß es da einen gewissen Zusammenhang gibt.
(Doch meine ich folgende Beobachtung gemacht zu haben: Bei Zugriff über (https://)fritz.box fragt Safari immer diesen Zertifikatskram ab. Wenn ich das Zertifikat aus der Fritzbox lade und in die Schlüsselbundverwaltung importiere, geht es einen Tag lang gut bis zur nächsten Zwangstrennung, nach der die Fritzbox eine neue IP bekam. Jetzt mußte ich bei Safari entweder den Zertifikatskram erneut beantworten oder das "jetzt aktuelle" Zertifikat wieder von der Fritzbox runterladen und erneut in die Schlüsselbundverwaltung importiere und "Vertrauen" einstellen. Die alten Zertifikate in der Schlüsselbundverwaltung - namens alter Fritzbox-IP-Adressen - konnte ich löschen.)
virk
Aktives Mitglied
Thread Starter
- Registriert
- 14.06.2012
- Beiträge
- 828
- Reaktionspunkte
- 311
Na, ich wollte ein kleines Witzchen machen
. (Ansonsten beschäftige ich mich gerade mit der Fritzbox, da eine neue, hier installierte, eine unsaubere Leitung im Haus meldet, die ein paar kbit/s kostet)
Zuletzt bearbeitet:
tocotronaut
Aktives Mitglied
- Registriert
- 14.01.2006
- Beiträge
- 37.472
- Reaktionspunkte
- 15.569
IP-Adressen können eigentlich nicht über Zertifikate abgesichert werden....
Das ist Domainnamen vorbehalten ( macuser.de / fritz.box / etc.)
Und es braucht einen Notar der die Echtheit bestätigt. Die Zertifizierungsstelle.
Bei lokalen Domains wie fritz.box gibt es natürlich das Problem, dass die Fritzbox als Gegenstelle in jedem Netzwerk anders aussieht.
Deshalb muss man die selbst Signieren.
Edit:
Ich frage mich gerade, ob es sinnvoll ist einen eigenen Zertifizierungsserver im Heimnetz aufzubauen, bei dem man die Selbstsignierten Zertifikate einbindet und der das dann für die Heimnetzgeräte bestätigt...
Dann muss man für jedes gerät nur ein Zertifikat hinterlegen.
Kennt jemand sowas als FOSS?
Das ist Domainnamen vorbehalten ( macuser.de / fritz.box / etc.)
Und es braucht einen Notar der die Echtheit bestätigt. Die Zertifizierungsstelle.
Bei lokalen Domains wie fritz.box gibt es natürlich das Problem, dass die Fritzbox als Gegenstelle in jedem Netzwerk anders aussieht.
Deshalb muss man die selbst Signieren.
Edit:
Ich frage mich gerade, ob es sinnvoll ist einen eigenen Zertifizierungsserver im Heimnetz aufzubauen, bei dem man die Selbstsignierten Zertifikate einbindet und der das dann für die Heimnetzgeräte bestätigt...
Dann muss man für jedes gerät nur ein Zertifikat hinterlegen.
Kennt jemand sowas als FOSS?
Zuletzt bearbeitet:
Fallensteller
Aktives Mitglied
- Registriert
- 26.03.2007
- Beiträge
- 1.432
- Reaktionspunkte
- 402
Schau mal:
Wie wir unsere SSL Zertifikate mit OpenSSL für lokale Webdienste signieren
https://sebastianzehner.com/de/posts/how-do-we-sign-our-ssl-certificates-with-openssl-for-local-web-services/
Wie wir unsere SSL Zertifikate mit OpenSSL für lokale Webdienste signieren
https://sebastianzehner.com/de/posts/how-do-we-sign-our-ssl-certificates-with-openssl-for-local-web-services/
Zuletzt bearbeitet von einem Moderator:
virk
Aktives Mitglied
Thread Starter
- Registriert
- 14.06.2012
- Beiträge
- 828
- Reaktionspunkte
- 311
Ich hab' das jetzt nur überflogen und speichere mir den link mal. Danke!
(So was in der Art muß ich hier auch machen, da ich für den "macOS"-server, auf dem apache läuft, php dazuinstallieren mußte, was via homebrew geschah. Da "benötigt" jedes upgedatete php erneutes codesigning via wohl Zertifikat der eigens erstellten Zertifikatsinstanz. Ich mache das sporadisch nach eigener Dokumentation und bin da bzgl. Details nicht firm.)
(So was in der Art muß ich hier auch machen, da ich für den "macOS"-server, auf dem apache läuft, php dazuinstallieren mußte, was via homebrew geschah. Da "benötigt" jedes upgedatete php erneutes codesigning via wohl Zertifikat der eigens erstellten Zertifikatsinstanz. Ich mache das sporadisch nach eigener Dokumentation und bin da bzgl. Details nicht firm.)
Doch, wenn der irre beim CSR bei den SAN neben DNS auch IP= einträgt.
OmarDLittle
Aktives Mitglied
- Registriert
- 21.05.2017
- Beiträge
- 8.107
- Reaktionspunkte
- 6.596
Und da liegt dann auch der Hund begraben. Wenn der Browser plötzlich ein anderes Zertifikat sieht, das nicht ordnungsgemäß signiert ist, dann zeigt er selbstverständlich eine Warnung an. Da sich das Zertifikat jeden Tag ändert, je nachdem ob man gerade zuhause oder beim Arbeitgeber ist, kommt die Warnung jeden Tag aufs Neue zurück. Eine simple Lösung wäre, eines der beiden Geräte über fritz2.box anzusprechen. Zwei separate Zertifikate, zwei separate FQDNs.
Hier wurde es stattdessen "gelöst", indem die Verschlüsselung abgedreht wurde und alle Daten nun im Klartext übermittelt werden. Ohne Zertifikat gibt es keine Zertifikatswarnungen, logisch. Deshalb lässt man auch die Haustür einfach immer offen, dann kann man nicht vergessen abzusperren.
Es geht schon, nur signieren wird dir das niemand. Man muss nachweisen können, dass einem die Domain gehört. Du kannst nicht nachweisen, dass dir eine IP-Adresse gehört, und 192.168.69.42 gehört dir erst recht nicht. Man stelle sich vor es wird ein signiertes Zertifikat für 192.168.1.1 ausgestellt, absurd.
Klar, das machen Unternehmen oft auch so, Linux kann das mit Bordmitteln. Du erstellst dir ein Root-Zertifikat und spielst es auf allen Endgeräten ein. Unternehmen händigen ihren Mitarbeitern dann Laptops mit bereits vorinstalliertem Rootzertifikat aus.
Ähnliche Themen
