[Frage] Warum SSL-Zertifikate von Let's Encrypt nur für MyFritz ?

Peter931

Aktives Mitglied
Mitglied seit
5 Mai 2005
Beiträge
893
Punkte für Reaktionen
2
Punkte
18
Hallo,
meine FB7490 ist über die DNS-Dienste
1. MyFritz
2. goip.de

aus dem Internet erreichbar.

Schade dass das SSL-Zertifikat nur für den MyFritz - Zugriff gilt.

Vielleicht ändert das AVM ja noch...

Gruß
Peter
 
Zuletzt bearbeitet:
Wieso sollte AVM LE für anderes anbieten, bzw. für was denn?

Auf der FB selbst laufen auch keine anderen Dienste außer Fernwartung und FTP.

Andere Geräte müssen sich selbst darum kümmern regelmäßig ganze upzudaten, zudem müssen Geräte auch direkt erreichbar sein, und besonders mit IPv6 reagiert FB nicht für andere Geräte.

Ein Synology NAS kümmert sich z.B. selbst darum.
 
Es geht doch gar nicht um andere Geräte, sondern um den Zugriff auf die fritzbox-Konfiguration, die lokal unter http://fritz.box/ zu erreichen ist.

Wenn ich den Fernzugriff über MyFritz einrichte, kann ich von extern über https://ksnxuicnd3726625.myfritz.net/ auf meine Bix zugreifen. Ich kann aber auch einen anderen DynDNs-Dienst nutzen und dann über http://username.dyndns.org/ darauf zugreifen (wesentlich leichter zu merken). Leider kann die fritzbox nur für die kryptische myfritz-Domain ein LEtsEncrypt-Zertifikat anfordern und nutzen.

Das anzusprechende Gerät ist in jedem Fall die gleiche fritzbox.
 
MyFritz bietet es ja auch nur für die FB an, nicht für andere Geräte.

Andere DDNS Dienste bieten LE aber halt noch nicht an. Der entsprechende Domaininhaber muss sich darum kümmern, bzw. ist berechtigt nen Zertifikat zu bekommen.

Sonst halte statt DDNS was auf IP zeigt nur ne Frameweiterleitung auf die MyFritz URL.
 
Auch gerade darüber gestolpert und wirklich "halbherzig" von AVM. Die "%.myfritz.net" Adresse wird bei der let's encrypt Zertifikatserstellung berücksichtigt, die eigenen dyndns-Adressen nicht, zumindest nicht out of the box.
 
Andere DDNS Dienste bieten LE aber halt noch nicht an. Der entsprechende Domaininhaber muss sich darum kümmern, bzw. ist berechtigt nen Zertifikat zu bekommen.

Sonst halte statt DDNS was auf IP zeigt nur ne Frameweiterleitung auf die MyFritz URL.
Nochmal:
Es ist technisch vollkommen egal welche DynDomain Dienst genutzt wird und der DDNS muss das nicht explizit untersützen.
Die FB könnte locker für jeden DNS Eintrag den sie "anmeldet" ein LE Zertifikat beantragen. Sie kennt ja die Domain.
Ich selbst melde meine Boxen unter einen Subdomain meiner 2nd Level Domain an. Die FB könnte locker für die jeweilige Subdomain ein LE Zertifikat beantragen.

Weiterleitung dann ja wohl entweder via permredict oder CNAME (mit Wildcard Cert). Alles andere ist ja wohl pfusch. IFrame, wer macht denn sowas noch!?!
 
Nochmal, andere Domains nimmt die FB nicht, nur für MyFritz.
 
Zuletzt bearbeitet von einem Moderator:
Natürlich untersützt die FB keine LE Zertifikate für andere Domains, das ist ja genau die Frage/das Thema. Siehe Post Nr. 1.

Und nochmal: Sie könnte es, wenn es richtig gemacht würde. Es gibt keinen Grund wieso der DDNS irgendwas unterstützten müsste.

Es gibt technisch keinen Grund wieso die FB hier Restriktionen auf myfritz Domains hat.
 
Die FB könnte noch so viel mehr... sind also hier im Thema falsch, sondern als Feedback an AVM zumelden.
 
Dann ist das schon seit Post Nr. 1 OT.

Und gerade für die Fernwartung wäre ein eigenes Zertifkat interessant.
 
Ja, richtig. Ich würde ja sogar myfritz-DDNS für die Fernwartung benutzen, aber leider funktionieren dann bei VPN nicht mehr die eigenen z.B. Strato-DDNS. Früher koexistierten die mal, wenn man myfritz zuletzt einrichtete.
 
Die FB könnte noch so viel mehr... sind also hier im Thema falsch, sondern als Feedback an AVM zumelden.

Im Gegenteil, das ist genau das richtige Thema um darüber zu diskutieren, wie man es schafft die unnötigen Restriktonen der Fritzbox zu umgehen oder AVM dazu zu bewegen, auch vom user angelegte DDNS-Hostnamen bei der Zertifkatsgenerierung zu berücksichtigen. Hätte man Zugriff auf certbot der Fritzbox, wäre das mit einem einfachen
Code:
certbot --expand -d existing.com,example.com,newdomain.com
erledigt.
 
Dafür gibt es ja ggf. die Inhouse Versionen wo ne Shell im WebIF hast.

In regulärer FW bietet die FB nur für MyFritz LE an.

Für mich stellt sich Problem garnicht, da ich VPN verwende, und so normal über fritz.box zugreife. Auf die kryptischen MyFritz Links oder Captcha Codes hätte ich keine Lust. Und wenn man die MyFritz Hostnamen in eigenen Hostnamen als CNAME setzt, bringt es auch nichts, da LE Zertifikat dann nicht passt, und kein Unterschied macht zum selbst signierten.
 
Zuletzt bearbeitet von einem Moderator:
Auf der FRITZ!Box läuft gar kein "certbot" (ich nehme einfach mal an, daß hier das Angebot der US-amerikanischen EFF gemeint ist), denn wenn man da einfach mal in die Voraussetzungen schaut, liest man:
Certbot currently requires Python 2.7 or 3.4+ running on a UNIX-like operating system.
Das mit dem "UNIX-like operating system" kriegt das FRITZ!OS ja gerade so noch hin ... aber seit wann läuft denn auf der FRITZ!Box (mit dem originalen OS von AVM) Python?

Das hat also AVM mal schön selbst implementiert (in C bzw. in Teilen auch in C++, wie man an den "decorated names" der Symbole in der Datei "/bin/letsencrypt" sehen kann) und auch ohne jedwedes zusätzliche Skript (wo man "eingreifen" könnte) mit dem Rest der Komponenten verwoben.

Man kann also rein mit einer Shell da auch nur wenig machen - man braucht schon einen ACME-Client in einer der auf der Box unterstützten Sprachen und da bleibt nicht so sehr viel übrig außer Lua, Shell und ggf. noch C/C++ ... aber für alles das gibt es ja "Angebote". Es ist also nicht unmöglich, aber man kann AVM auch (in Grenzen) verstehen, wenn man dort nicht die Verantwortung für falsch ausgestellte Zertifikate übernehmen will (Stichwort "wildcard certificates" für DynDNS-Domänen), mit denen dann wieder MITM-Angriffe gestartet werden können.

Solange als Authentication am Ende DNS-01 verwendet wird, braucht man tatsächlich auch Zugriff auf den betreffenden DNS-Server, denn da besteht die "Bestätigung" der Kontrolle über die Domain in einem zusätzlichen DNS-Eintrag (vom Typ TXT) und den kann ein Kunde eines DynDNS-Anbieters eher selten selbst setzen (zumindest bei kostenlosen Diensten, bei wirklich professionellen geht auch das).

Aber wenn ich das richtig sehe, hat AVM nach der Abschaltung von TLS-SNI-01 als Authentication bei LE (irgendwann Anfang Januar 2018, weil sich daraus bei "shared hosting" (mehrere TLS-Server auf derselben IPv4-Adresse) ein Sicherheitsproblem ergab) gar nicht auf DNS-01 umgestellt, auch wenn man das beim MyFRITZ!-Service wohl machen könnte (diese Erkenntnis speist sich bei mir aber auch nur aus der Analyse der angesprochenen Binärdatei (letsencrypt) von AVM).

Stattdessen wird auf HTTP-01 gesetzt ... dabei muß der Webserver unter der im DNS eingetragenen Adresse eine Datei mit speziellem Inhalt (vom ACME-Server vorgegeben) bereitstellen zum Zeitpunkt der Zertifizierung und beim Erneuern.

Das kann aber jeder auch außerhalb der FRITZ!Box machen ... man muß halt nur für die Zeit der Authentication eine Portweiterleitung in der FRITZ!Box auf irgendeinen passenden Client einrichten.

Da dieser Vorgang sowohl über IGD-Interfaces als auch über PCP möglich sein sollte, gibt es (vermutlich) auch irgendeinen passenden Client für Windows-PCs, mit dem man sich ein LE-Zertifikat erstellen kann ... das muß man dann halt nur in die Box importieren. Und bei dieser Version muß man dann natürlich auch selbst dafür sorgen, daß die (relativ kurzlebigen) ACME-Zertifikate rechtzeitig erneuert werden ... das läßt sich sogar unter Windows alles mit PowerShell automatisieren und zwar inklusive der "Erneuerung", denn man kann natürlich auch das Zertifikat "abfragen" und die verbleibende Gültigkeitsdauer dort auslesen - über den Taskplaner auch jederzeit automatisch.
 
Danke PeterPawn für deinen Beitrag, da wirst du recht haben, vermutlich hat AVM LE "anders" implementiert, als man es auf einem freien Linux-System tun würde.

Hinter einer Fritzbox kann ich Zertifikate natürlich auch von einem anderen Netzwerkclient ausstellen und verwalten lassen. Jedoch wäre es schön, wenn FritzOS getriggertes Portforwarding könnte, so dass man für die Dauer des Zertifikat-Renewals automatisiert den TCP-Port 443 an das entsprechende Endgerät weiterleiten kann. :confused:
Irgendwie lässt sich das ohne getriggertes Forwarding nicht so schön automatisieren, UPnP ist für mich keine Lösung ... Vorschläge sind jederzeit willkommen. :)
 
Darüber habe ich auch schon nachgedacht.

Selbst wenn du einigermaßen automatisiert das Zertifikat ausstellen kannst, musst du immer noch einen Weg finden es in die FB zu importieren.

Ich hatte mal überlegt ein Wildcard meiner Domain auf einem Server ausstellen zu lassen und die FB als Subdomain meiner Domain zu betreiben.
Löst aber das Problem mit dem Import nicht.
 
Man kann doch eigene Zertifikate importieren, und dass schon bevor es die von LE gab.

Wenn man Lust hat alle 3 Monate Zertifikat zu tauschen und so. Oder halt Geld ausgeben und eines kaufen welches direkt 3 Jahre gültig ist.
 
Für eine Verwaltung der eigenen FB etwas oversized für die meisten.

Da würde ich lieber mein eigenes Zertifikat erstellen und in den/die Cer-Speicher meiner Geräte importieren.
 
Manche Domainhoster bieten auch kostenlose Zertifikate an wie z.B. SchlundTech.

Ich bevorzu VPN, da ergibt sich Problem nicht.
 
Meine Domains liegen bei joker.com. Ich verwende den joker DDNS Dienst wodurch ein DYNA Eintrag auf die jeweils aktuelle IP Adresse des Endgerätes gesetzt wird. Soweit so gut und auch seit Jahren stabil. Eigene, selbst verwaltete Zertifikate per LetsEncrypt sind für mich völlig OK, habe kein Interesse an einer kommerziellen Lösung. VPN löst die ursprüngliche Fragestellung leider nicht.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.