[Frage] Warum SSL-Zertifikate von Let's Encrypt nur für MyFritz ?

Was wäre denn "getriggertes Portforwarding"?

Es gibt sowohl das IGD-Interface dafür im FRITZ!OS (das kommt leider bei AVM ohne Authentifizierung (also zumindest ohne "DeviceProtection"-Service) daher und ob die "Erlaubnis" für selbständige Portfreigaben (im GUI) das ebenso blockiert bzw. freigibt wie PCP, muß man mal testen - aber FRITZ!OS 7 ist noch neu, hat weiterhin genug Macken und man kann nicht alles auf einen Schlag testen und schon gar nicht alles aufschreiben) als auch ein TR-064-Pendant, welches man dann tatsächlich nur noch benutzen kann (vorausgesetzt, die Einstellungen in der Box sind "sicher"), wenn man passende Credentials (für die Box) kennt.

Auf beiden Wegen (eigentlich sind es mit PCP (RFC 6887) sogar drei) kann man so eine Weiterleitung bei Bedarf einrichten und auch wieder löschen. Wenn das "getriggert" genug ist, existiert das also bereits. Das dann noch auf einem "Automatisierungsserver" umzusetzen, den man ggf. ohnehin schon im LAN hat (z.B. auf einem RasPi), ist nur noch das I-Tüpfelchen und auch der Upload des selbsterzeugten LE-Zertifikats ist (allerdings nicht über eine dokumentierte Schnittstelle, sondern über einen POST-Request an "/cgi-bin/firmwarecfg" mit passenden Parametern) vergleichsweise einfach zu automatisieren.

Das sind also alles keine "wirklichen" Hindernisse ... die eher schmale Nutzerbasis (nur FRITZ!Box-Besitzer, nur mit eigener DynDNS-Adresse und mit Interesse an einem LE-Zertifikat für diese) macht das Erstellen eines nachnutzbaren Programms aber selbst dann zum eher teuren Vergnügen (und damit zum reinen "Liebhaberprojekt"), wenn man AVM und den MyFRITZ!-Service aus (naheliegenden) Datenschutzerwägungen ablehnt.

Theoretisch könnte man das aber sogar alles als Android-App umsetzen, die dann halt im LAN der betreffenden FRITZ!Box genutzt werden kann. Vielleicht "lernt" das ja BoxToGo irgendwann mal ... es würde zumindest den security-bewußten FRITZ!Box-Benutzern eine Möglichkeit an die Hand geben, auf sehr leichtem Weg auch ein LE-Zertifikat für die verwendete DynDNS-Adresse zu verwenden. Bei anderen Routern ist meist nicht mal das Setzen eines eigenen TLS-Zertifikats so ohne weiteres möglich (nein, ich rede hier gerade nicht von OpenWRT oder irgendwelchen Software-Routern) - auch das erschwert ein "allgemeines" Programm zusätzlich und führt zu der o.a. Beschränkung auf die FRITZ!Box-Besitzer.

Abgesehen davon, ist der Port 443 eigentlich nur bei TLS-SNI-01 involviert (HTTP-01 arbeitet über den offenen Port 80 (Punkt 7.2, zweiter Absatz) - es gibt ja noch kein Zertifikat auf dem ACME-Client für TLS) ... den kann man aber im FRITZ!OS häufig tatsächlich nicht so ohne weiteres (programmgesteuert) weiterleiten, wobei das m.E. eher auf fehlerhafter Implementierung gründet als auf absichtlich abweichender Funktion.
 
  • Like
Reaktionen: amaier-hohe
Ich bin immer wieder von deinen Wissenstand beeindruckt, vielen Dank für deine Einschätzungen und Richtigstellungen. Was Zeit/Kosten angeht, so gebe ich dir uneingeschränkt recht, der Aufwand ist sehr groß. Bis auf Weiteres bleibt die "Hoffnung", dass sich AVM eines Tages erbarmt und die LE-Zertifikate auf Wunsch auch für ausgewählte, in der FB hinterlegte user-DDNS Hostnamen erlaubt. ;)
 
Ich wage zu bezweifeln, dass ein SAN reicht.

Ich habe meine Box als CNAME eingetragen, so dass ich mich mit der xyz.myfritz.net Adresse, als auch mit meiner persönlichen abc.mydomain.com Adresse verbinden kann.
Wenn ich jedoch openssl s_client verwende, dann bekomme ich als Zertifikat immer ein self-signed Zertifikat angezeigt. Nur wenn ich mich mit SNI (openssl s_client -servername xyz.myfritz.net ...) verbinde, bekomme ich auch das Lets Encrypt Zertifikat angezeigt.

Das sieht für mich also danach aus, dass AVM SNI einsetzt und somit zwei Zertifikate verwaltet. Das Lets Encrypt in Internet > MyFritzKonto und das self-signed aus Internet > Freigaben > FritzBox-Dienste
 
Das sieht für mich also danach aus, dass AVM SNI einsetzt und somit zwei Zertifikate verwaltet. Das Lets Encrypt in Internet > MyFritzKonto und das self-signed aus Internet > Freigaben > FritzBox-Dienste
Das ist sogar ganz gewiss so ... und wenn man nicht auch wirklich sein eigenes Zertifikat auf der Box hinterlegt hat, wechselt das "andere" (also das nicht-LE-Zertifikat) auch noch mit jedem Wechsel der öffentlichen IP-Adresse (weil darin dann diese öffentliche IP "zertifiziert" wird mit einem "self-signed certificate") - ein einziger Alptraum.
 
Meine FritzBoxen werden von einem meiner Linux Server automatisiert mit "eigenen" Zertifikaten versorgt:
Als Pendant zu DynDNS meldet die FritzBox ihre IP per Script, das in named einen A Record ( für fritz.xxx.de ) aktualisiert.
Für diese Subdomain holt sich der Server per getssl alle paar Wochen ein neues Zertifikat von Lets Encrypt und schiebt es per Shellscript zur Fritzbox.

Im Grunde sollte jemand, der sich mit der FritzBox auskennt, das auch Fritz-intern bauen können.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.