<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle18
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Hallo,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>nur der Vollständigkeit halber:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Man kann sich sowas natürlich selbst bauen, ich habe das mehr aus Spaß in meiner jubtl Firmware realisiert:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Zunächst mal braucht man einen DNS-Namen für die Router, was sich z.B. mit Daten vom Monitoring bauen lässt, sodass die DNS-Namen auf fd43 zeigen. Allein für sich ist das schon ekelig genug.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Dann braucht man ein Wildcard-Zertifikat für die verwendete Domain. Da ich kein Autoenrollment eingebaut habe, muss man ein Zertifikat erstellen, dass eine entsprechend lange Laufzeit hat (z.B. zwei Jahre). Da geht natürlich nicht mit Lets Encrypt o.ä., also habe meine lokale CA ohne Trust-Chain dafür genommen. Auf meinen eigenen Geräten füge ich die CA dann halt zu den Trusted Root Cert Authorities hinzu.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Die Certs werden in die jubtl-Firmware fest mit eingebaut, man muss dann halt alle 1-1.5 Jahre ein neues Cert erstellen und in die neue FW einbauen, damit es sich verteilen kann, bevor es abläuft.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Klingt umständlich, ist es auch. Aber es funktioniert. (Man muss dann allerdings auch über den DNS-Namen verbinden und nicht über die IP-Adressen).<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Und es ist eine Lösung, die jedem Nutzer offen steht, ohne das Mitwirkung anderer notwendig wäre.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Schwachstellen sind der Aufwand, das fehlende Autoenrollment, die Notwendigkeit das CA-Cert hinzufügen zu müssen, und insbesondere auch der DNS-Server. Also alles ;-)<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Beste Grüße<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Adrian<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif'>From:</span></b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif'> franken [mailto:franken-bounces@freifunk.net] <b>On Behalf Of </b>Philipp Schwab<br><b>Sent:</b> Freitag, 14. Dezember 2018 10:41<br><b>To:</b> fff@mm.franken.de; Freifunk Franken <franken@freifunk.net><br><b>Subject:</b> Re: Router konfigurieren - Sicherheitsabfrage und Zertifikat<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Das Problem ist, dass in diesem Fall der Router von außen zumindest für die Validierung eines Hostnames erreichbar sein muss.<br><br>Dies könnte man sicherlich bewerkstelligen, fraglich aber ob man das möchte, dass die Router aus dem Internet erreichbar sind.<br><br>Dann muss automatisch ein Hostname in ein DNS eingetragen werden, dies dauert eine Zeit x und danach erst könnte diese Validierung stattfinden.<br><br>Alternativ wäre, man rollt ein Zertifikat mit Key aus..., aber allein diese Überlegungen verbieten sich, da kann man das https gleich weglassen.<br><br>VG<br>Mike<br><br>Am Freitag, Dezember 14, 2018 10:24 CET, <a href="mailto:fff@mm.franken.de">fff@mm.franken.de</a> schrieb:<br> <o:p></o:p></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal>Hallo Steffen,<br><br>> egal ob Du lokal oder über dem Link im Monitoring auf den Router<br>> zugreifst, der Router macht eine Passwortabfrage. Diese möchte er über<br>> https absichern.<br><br>Ok.<br><br>> Deswegen erzeugt er ein eigenes Zertifikat,<br>> was natürlich dem Browser nicht bekannt sein kann,<br>> weil es nicht über eine öffentliche Zertifizierungsstelle bekannt ist.<br><br>Wieso verwenden wir nicht eines der freien und öffentlichen Zertifikate?<br><br>Das würde zumindest die verunsichernden Warnungen verhindern,<br>und das m.E. unsinnige Wegklicken derselben.<br><br>Denn wer bei FFF lernt, dass man Sicherheitswarnungen einfach wegklickt<br>(weil man angewiesen wird zu vertrauen), der "vertraut" öglicherweise<br>auch mal an anderer Stelle - und läuft damit in sein Verderben...<br><br>> Deswegen musst Du die Sicherheit bestätigen.<br>> Du weißt, dass es so ist und deswegen kann man dem auch vertrauen.<br><br>Irgendwo habe ich mal gehört, dass auch Zertifikate manchmal nur eine<br>Scheinsicherheit ermöglichen (aber das wäre eine andere Diskussion).<br><br>Mit herzlichem Gruss,<br>Markus<br><br><br>> Am 13.12.2018 um 22:18 schrieb <a href="mailto:fff@mm.franken.de">fff@mm.franken.de</a>:<br>>> Hi Sebastian,<br>>><br>>>> Ich geh davon aus du meinst die zu bestätigenden Zertifikate im Browser,<br>>>> das gehört dazu.<br>>> Wieso?<br>>> Fehlende oder abgelaufene Zertifikate...?<br><br> <o:p></o:p></p></blockquote><p class=MsoNormal><br><br><br> <o:p></o:p></p></div></div></body></html>