SSL-Qualität der neuen Web-GUI

[A. Schulze]

kwadronaut:

> einfacher ist vielleicht https://github.com/drwetter/testssl.sh
möglicherweise einfacher, aber wer ist "drwetter" ?
Reputation????

> Sogar wenn der Admin der gleiche Person ist von 2 Routern, heißt das
> nicht das der connection mit beiden Routern gleich lauft.

ja, am Sonntag hatte ich noch kurz mit Tom/Torben? (saß rechts von mir)
gesprochen. Das WebUI ist praktisch als Öffentlich zu betrachten.
Das ist OK, allerdings sollte dann ordentliche Crypto laufen.

> Die sha1-sig, ist problematisch.
> Ende dieses Jahr werden die auch nicht mehr akzeptiert durch Browser.
Guter Punkt, den hatte ich noch gar nicht auf dem Radar!

> Wenn noch kein Bug beim Openwrt ist, mach bitte eins auf.
> RC-4: bitte auch Upstream verbessern.
kann ich noch nicht, weiss nicht wo und wie :-/

> Erzeugen wir pro Router einen eigenen Key?
ich denke ja

> Und PFS, mjah, wenn der einen neuen Schlüssel bekommt bei jeder  
> Firmwareupdate, ist das auch quasi gelöst ;-)
quasi
aber die Umstände (regelmäßiges Routerupdate) sind 1. nicht  
verlässlich und 2. nicht von Außen sichtbar.
Und so bleibt von Außen die Sicht "kein PFS" und damit ein Geschmäckle

Aber auch dass sollte uhttpd fixen.
wie gesagt, ich habe noch keinen Plan, wo openwrt aufhört und fff anfängt.

Andreas