dass AVM sich ein Zertifikat für *.myfritz.net hat ausstellen lassen
Das ist aber auch nicht das erste dieser Art ... damit nicht der Eindruck entsteht, das gäbe es erst seit Sept. 2019.
Das Vorgängerzertifikat war dieses:
transparencyreport.google.com
... und genau dessen Existenz war ein entscheidender Punkt, der mich auch schon in der Vergangenheit zu meiner nachdrücklichen Warnung vor der Benutzung von MyFRITZ!-Namen beim WAN-Zugriff auf FRITZ!Box-Dienste veranlaßte.
AVM hat hier sowohl die Hoheit über den DNS-Server als auch über dieses Zertifikat ... wenn man dort also die Abfrage nach dem Namen einer konkreten/bestimmten FRITZ!Box mit der Adresse eines eigenen Servers beantwortet und dieser dann beim TLS-Zugriff das Wildcard-Zertifikat präsentiert, während er als "Proxy" für den Zugriff auf die FRITZ!Box (also effektiv als "Man in the middle" - MITM) arbeitet, dann bemerkt der Kunde/Besitzer/Benutzer (bzw. sein Browser) da nicht das geringste Problem - während man mit einer, auf diesem Weg "mitgelesenen", SID für eine administrative Sitzung selbst allen möglichen Unsinn anstellen kann.
Da braucht man schon ein überbordendes Vertrauen in den Hersteller, für das es - zumindest in meinen Augen - keinen belastbaren Grund gibt ... bisher hat sich AVM für meine Begriffe beim Datenschutz nicht wirklich mit Ruhm bekleckert und die "Verknüpfung" der Daten aus verschiedenen Quellen war/ist ebenfalls schon länger bekannt.
Wobei AVM da auch immer wieder ein paar Änderungen vornimmt ... ich weiß nicht, wievielen Benutzern es auffällt, daß irgendwelche Mails zu Problemen in einer FRITZ!Box nicht mehr zwingend von dieser selbst kommen (also nur die Box und der dort konfigurierte Mail-Server involviert sind) - es gibt mittlerweile auch Umstände, bei denen die Box nur noch den MyFRITZ!-Service "triggert" und wo dieser dann seinerseits Mails (an die im MyFRITZ!-Konto hinterlegte Adresse) versendet - da ist AVM natürlich dann auch immer "bestens informiert", was da auf der FRITZ!Box des Kunden gerade gehauen und gestochen ist.
Zwar prüfen die Apps von AVM meines Wissens gar nicht das präsentierte Zertifikat an sich, sondern den darin beglaubigten öffentlichen Schlüssel - so daß diese Apps also tatsächlich (wenn dort wenigstens alles mit rechten Dingen zugeht und sie nicht den öffentlichen Schlüssel des Wildcard-Zertifikats ebenso "durchwinken" - der hat sich auch mit dem "renew" im Sept. 2019 nicht geändert, wenn ich das richtig sehe und ist somit praktisch "konstant") so einen zwischengeschalteten Proxy erkennen würden. Aber das "entlastet" AVM natürlich nicht von der Verantwortung für diese Sicherheitslücken ... die einzige "Absicherung" für den Kunden ist die Annahme, daß AVM in der Lage ist, den privaten Schlüssel für dieses Zertifikat so zu verwahren, daß kein Unbefugter in seinen Besitz kommt (das Zertifikat an sich ist ja nicht "geheim" und kann von jedem gefunden werden).
Da sämtliche (externen) Dienste einer FRITZ!Box eben über den einen, gemeinsamen Port für den HTTPS-Server zugänglich sind (die Apps verwenden ja auch diese Schnittstelle), gibt es für den Kunden/Besitzer, der Apps benutzen will, auch keine andere/bessere Art der Absicherung gegen (zumindest machbare, was noch nicht impliziert, daß sie auch stattfinden) Übergriffe von AVM, als die Verwendung eines anderen DynDNS-Namens und eines (eigenen) Zertifikats für diesen DynDNS-Namen - zumal AVM ja auch die (automatische) Anforderung eines LE-Zertifikats auf genau diese Domain "myfritz.net" (bzw. auf den MyFRITZ!-Namen) im FRITZ!OS beschränkt und damit den (arglosen) Benutzer ein weiteres Mal dazu "bewegen" will, doch bitteschön die Domain zu benutzen, für die man sich ein solches Wildcard-Zertifikat besorgt hat.
Nun kann man solche "Vorbehalte" zwar auch mit "Aluhut-Träger" abtun ... aber Transparenz, auch in der Kommunikation gegenüber dem Kunden, ist für mich etwas deutlich anderes, als das was AVM da (und eben schon seit Jahren, womit ja auch schon länger die Gelegenheit zur offensiven Klarstellung/Kommunikation besteht) betreibt.
Man kann jedenfalls (für jemanden, der die Zusammenhänge versteht) auch einigermaßen glaubhaft begründen, warum man besser auf die Benutzung von MyFRITZ!-Namen beim Zugriff aus dem WAN verzichtet ... oder eben damit lebt, daß man seine gesamte Sicherheit am Ende in die Hände von AVM legt (was man sicherlich mit dem FRITZ!OS oder bei Benutzung einer FRITZ!App ohnehin machen muß und so "richtig freche Backdoors" - wie bei anderen Routern - hat man bei AVM auch noch nicht gefunden, das waren bisher fast immer "Programmierfehler"), was - ausgehend von Gottvertrauen - AVM dann automatisch in die Rolle eines "höheren Wesens" erhebt, für die man sich dort - zumindest nach meiner Ansicht - noch nicht wirklich qualifiziert hat.