- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,328
- Punkte für Reaktionen
- 1,769
- Punkte
- 113
Mit dem neuesten Update macht jetzt auch Microsoft Front gegen ältere Zertifikate, die noch SHA-1 als Signaturalgorithmus verwenden (nicht zu verwechseln mit dem "Fingerabdruck"). Zwar führt das nicht direkt zu Warnungen im Zusammenhang mit der FRITZ!Box (weil selbstsignierte Zertifikate erst einmal nicht betroffen sind), aber es lenkt die Aufmerksamkeit einmal mehr auf dieses Thema und auf eine Unzulänglichkeit (in meinen Augen jedenfalls ist es eine) beim Firmware-Update durch AVM.
Hat man nämlich bereits mit einer älteren Firmware ein Zertifikat erzeugt (erst seit 06.8x verwendet AVM m.W. hier SHA-256 zum Signieren des "self-signed certificate") und seitdem immer brav seine FRITZ!Box aktualisiert, ohne sie auf Werkseinstellungen zu setzen (ob auch ein "einfacher" Import reicht, weiß ich nicht und will ich jetzt auch nicht probieren), dann bleibt auch dieses SHA-1-Zertifikat erhalten ... jedenfalls nach dem, was ich bei der 6490 gerade wieder einmal getestet habe (auf anderen Geräten habe ich benutzereigene Zertifikate und da ist das wieder ein anderes Thema).
Bei so einem - durch die Box - selbstsignierten Zertifikat könnte man theoretisch sogar seitens AVM ein Update des Zertifikats ausführen, ohne daß die von AVM selbst verwendeten Mechanismen zum "certificate pinning" daran scheitern würden ... solange AVM dort den öffentlichen Schlüssel "festpinnt" und nicht den Fingerabdruck des Zertifikats, könnte man (bzw. AVM) auch hingehen und mit demselben privaten (und damit auch mit demselben öffentlichen) Schlüssel ein neues Zertifikat selbst signieren und dabei dann SHA-256 verwenden für die Signatur. Die Schlüssellänge (RSA mit 2048 Bit) ist jedenfalls dieselbe (die Umstellung auf RSA-2048 ist schon etwas länger her, aber ganz alte "geerbte" Zertifikate könnten auch noch mit einem 1024-Bit-Schlüssel arbeiten) bei der 06.83 - an dieser Stelle müßte man nichts ändern.
Was kann man nun eigentlich als FRITZ!Box-Besitzer machen, wenn man seine Box nicht auf Werkseinstellungen zurücksetzen will (und wenn nicht doch beim Komplett-Import in die - nicht zurückgesetzte - Box auch ein neues Zertifikat erzeugt werden sollte, denn in der Sicherung ist so ein selbstgeneriertes Zertifikat nicht enthalten)?
Dann bleibt zumindest noch die Möglichkeit, zwischendrin einfach irgendein selbstgeneriertes Zertifikat zu importieren ... das dient eigentlich nur dazu, das von der Box generierte zu überschreiben und im Nachgang dann im GUI die Möglichkeit zu erhalten, dieses "benutzereigene Zertifikat" wieder zu löschen (der kleine Button hinter der Box mit dem Fingerabdruck). Dann generiert das FRITZ!OS wieder ein eigenes (allerdings eben mit einem neuen privaten Schlüssel und damit schlagen dann ggf. die AVM-Apps auch entsprechend Alarm, wenn sich die Schlüssel ändern) ... es geht aber noch einfacher.
Die FRITZ!Box erzeugt nämlich bei einem von ihr selbst signierten Zertifikat (bei einem benutzergenerierten Zertifikat ist auch der Benutzer für Inhalt und verwendete Algorithmen verantwortlich, da braucht sie sich also nicht darum kümmern bzw. das kann sie auch gar nicht) auch dann ein neues, wenn sich eine der konfigurierten DynDNS-Adressen (auch MyFRITZ! gehört an dieser Stelle dazu) oder der Name der Box ändern - einfach deshalb, weil diese Daten im "CN" und (wichtiger) in den "Subject Alternative Names" stehen und sich bei einer der erwähnten Änderungen dann auch diese Liste ändert.
Es reicht also auch aus, wenn man einfach für seine FRITZ!Box das MyFRITZ!-Konto deaktiviert und dann wartet, bis die Box ein neues Zertifikat generiert hat (man sieht es am Fingerabdruck unter Freigaben -> FRITZ!Box-Dienste -> Zertifikat, wenn sich das ändert) und dann reaktiviert man das wieder. Das geht natürlich auch mit einem anderen DynDNS-Anbieter ... beim Umbenennen der FRITZ!Box gibt es dann noch ein paar Seiteneffekte, die man erst wieder rückgängig machen müßte, denn von so einer Umbenennung ist eben (ich schreibe jetzt mal: unverständlicherweise, weil man das wenigstens auswählbar hätte machen können) nicht nur der Hostname der Box betroffen, sondern auch WLAN, DECT und die NAS-Dienste - das macht diese Stelle eher zu einer schlechten Wahl, es sei denn, man hatte sich schon länger vorgenommen, endlich mal die eigene Box umzubenennen.
Der Weg über die DynDNS-Namen macht auch nur dann Sinn, wenn das Zertifikat bereits für einen 2048-Bit-Schlüssel ausgestellt wurde. Ist da noch ein ganz alter 1024-Bit-Schlüssel in Benutzung, sollte man den Weg mit dem "dummy certificate", das man dann gleich wieder löscht, beschreiten.
Da sicherlich nicht jeder Betroffene über ein installiertes OpenSSL-Paket verfügt, habe ich mal ein solches Dummy-Zertifikat erzeugt und hänge es hier an - wer daran herumeditieren sollte/will, muß bitte beachten, daß das UTF-8 ohne BOM mit Linux-Zeilenenden sein sollte, was man der FRITZ!Box an dieser Stelle anbietet. Das Zertikat kann man nach dem Import einfach wieder löschen (auf die erfolgreiche Weiterleitung nach dem Import würde ich mich nicht immer verlassen, so ein Import sollte in max. 30 Sekunden erledigt sein) und dann generiert die Box sich ein neues - spätestens beim nächsten Restart; wobei das mit dem Umschalten auf das von der Box generierte Zertifikat deutlich besser klappt als die Weiterleitung nach einem Import.
Was für ein Zertifikat die eigene Box gerade verwendet, kann man sich ja entweder im Browser bei einem TLS-Zugriff ansehen oder in der "Import"-Seite beim Download des installierten Zertifikats prüfen ... die meisten Systeme erkennen die Erweiterung "cer" und zeigen den Inhalt dann in irgendeiner geeigneten Weise an. Wichtig sind Signaturalgorithmus (sha256RSA) und Länge des "Public key" (2048 Bit mind., die Box kann m.W. auch 4096 ab) - bei kürzerem Schlüssel braucht es einen neuen und bei "sha1RSA" als Signaturalgorithmus sollte das Erneuern des Zertifikats auf dem oben gezeigten Weg ausreichen.
Hat man nämlich bereits mit einer älteren Firmware ein Zertifikat erzeugt (erst seit 06.8x verwendet AVM m.W. hier SHA-256 zum Signieren des "self-signed certificate") und seitdem immer brav seine FRITZ!Box aktualisiert, ohne sie auf Werkseinstellungen zu setzen (ob auch ein "einfacher" Import reicht, weiß ich nicht und will ich jetzt auch nicht probieren), dann bleibt auch dieses SHA-1-Zertifikat erhalten ... jedenfalls nach dem, was ich bei der 6490 gerade wieder einmal getestet habe (auf anderen Geräten habe ich benutzereigene Zertifikate und da ist das wieder ein anderes Thema).
Bei so einem - durch die Box - selbstsignierten Zertifikat könnte man theoretisch sogar seitens AVM ein Update des Zertifikats ausführen, ohne daß die von AVM selbst verwendeten Mechanismen zum "certificate pinning" daran scheitern würden ... solange AVM dort den öffentlichen Schlüssel "festpinnt" und nicht den Fingerabdruck des Zertifikats, könnte man (bzw. AVM) auch hingehen und mit demselben privaten (und damit auch mit demselben öffentlichen) Schlüssel ein neues Zertifikat selbst signieren und dabei dann SHA-256 verwenden für die Signatur. Die Schlüssellänge (RSA mit 2048 Bit) ist jedenfalls dieselbe (die Umstellung auf RSA-2048 ist schon etwas länger her, aber ganz alte "geerbte" Zertifikate könnten auch noch mit einem 1024-Bit-Schlüssel arbeiten) bei der 06.83 - an dieser Stelle müßte man nichts ändern.
Was kann man nun eigentlich als FRITZ!Box-Besitzer machen, wenn man seine Box nicht auf Werkseinstellungen zurücksetzen will (und wenn nicht doch beim Komplett-Import in die - nicht zurückgesetzte - Box auch ein neues Zertifikat erzeugt werden sollte, denn in der Sicherung ist so ein selbstgeneriertes Zertifikat nicht enthalten)?
Dann bleibt zumindest noch die Möglichkeit, zwischendrin einfach irgendein selbstgeneriertes Zertifikat zu importieren ... das dient eigentlich nur dazu, das von der Box generierte zu überschreiben und im Nachgang dann im GUI die Möglichkeit zu erhalten, dieses "benutzereigene Zertifikat" wieder zu löschen (der kleine Button hinter der Box mit dem Fingerabdruck). Dann generiert das FRITZ!OS wieder ein eigenes (allerdings eben mit einem neuen privaten Schlüssel und damit schlagen dann ggf. die AVM-Apps auch entsprechend Alarm, wenn sich die Schlüssel ändern) ... es geht aber noch einfacher.
Die FRITZ!Box erzeugt nämlich bei einem von ihr selbst signierten Zertifikat (bei einem benutzergenerierten Zertifikat ist auch der Benutzer für Inhalt und verwendete Algorithmen verantwortlich, da braucht sie sich also nicht darum kümmern bzw. das kann sie auch gar nicht) auch dann ein neues, wenn sich eine der konfigurierten DynDNS-Adressen (auch MyFRITZ! gehört an dieser Stelle dazu) oder der Name der Box ändern - einfach deshalb, weil diese Daten im "CN" und (wichtiger) in den "Subject Alternative Names" stehen und sich bei einer der erwähnten Änderungen dann auch diese Liste ändert.
Es reicht also auch aus, wenn man einfach für seine FRITZ!Box das MyFRITZ!-Konto deaktiviert und dann wartet, bis die Box ein neues Zertifikat generiert hat (man sieht es am Fingerabdruck unter Freigaben -> FRITZ!Box-Dienste -> Zertifikat, wenn sich das ändert) und dann reaktiviert man das wieder. Das geht natürlich auch mit einem anderen DynDNS-Anbieter ... beim Umbenennen der FRITZ!Box gibt es dann noch ein paar Seiteneffekte, die man erst wieder rückgängig machen müßte, denn von so einer Umbenennung ist eben (ich schreibe jetzt mal: unverständlicherweise, weil man das wenigstens auswählbar hätte machen können) nicht nur der Hostname der Box betroffen, sondern auch WLAN, DECT und die NAS-Dienste - das macht diese Stelle eher zu einer schlechten Wahl, es sei denn, man hatte sich schon länger vorgenommen, endlich mal die eigene Box umzubenennen.
Der Weg über die DynDNS-Namen macht auch nur dann Sinn, wenn das Zertifikat bereits für einen 2048-Bit-Schlüssel ausgestellt wurde. Ist da noch ein ganz alter 1024-Bit-Schlüssel in Benutzung, sollte man den Weg mit dem "dummy certificate", das man dann gleich wieder löscht, beschreiten.
Da sicherlich nicht jeder Betroffene über ein installiertes OpenSSL-Paket verfügt, habe ich mal ein solches Dummy-Zertifikat erzeugt und hänge es hier an - wer daran herumeditieren sollte/will, muß bitte beachten, daß das UTF-8 ohne BOM mit Linux-Zeilenenden sein sollte, was man der FRITZ!Box an dieser Stelle anbietet. Das Zertikat kann man nach dem Import einfach wieder löschen (auf die erfolgreiche Weiterleitung nach dem Import würde ich mich nicht immer verlassen, so ein Import sollte in max. 30 Sekunden erledigt sein) und dann generiert die Box sich ein neues - spätestens beim nächsten Restart; wobei das mit dem Umschalten auf das von der Box generierte Zertifikat deutlich besser klappt als die Weiterleitung nach einem Import.
Was für ein Zertifikat die eigene Box gerade verwendet, kann man sich ja entweder im Browser bei einem TLS-Zugriff ansehen oder in der "Import"-Seite beim Download des installierten Zertifikats prüfen ... die meisten Systeme erkennen die Erweiterung "cer" und zeigen den Inhalt dann in irgendeiner geeigneten Weise an. Wichtig sind Signaturalgorithmus (sha256RSA) und Länge des "Public key" (2048 Bit mind., die Box kann m.W. auch 4096 ab) - bei kürzerem Schlüssel braucht es einen neuen und bei "sha1RSA" als Signaturalgorithmus sollte das Erneuern des Zertifikats auf dem oben gezeigten Weg ausreichen.