NEU! UPGRADE IP 11 verfügbar!
NEU! LICHTWIDGET - DPT 7.600 - Logik Manager Update - sowie viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/B9MUEJj2

Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Ab sofort kann jeder die neue VISU & IFTTT testen. Info: viewtopic.php?f=8&t=5074

Release V 4 am 15. Juni 2024
Es gibt nun einen fixen Termin. Info: viewtopic.php?f=8&t=5117

NEU! Ausführliches Video Tutorial zur VISU
Jetzt werden alle Fragen beantwortet. Das Video: https://youtu.be/_El-zaC2Rrs

[Beantwortet] [V3.5.1] TLS + Zertifikate des Timberwolfs

Allgemeine Themen & Feature Requests für APPs und Docker-Funktionen
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
chtonian
Reactions:
Beiträge: 12
Registriert: Mi Mai 25, 2022 2:43 pm
Danksagung erhalten: 2 Mal

[V3.5.1] TLS + Zertifikate des Timberwolfs

#1

Beitrag von chtonian »

Guten Morgen liebe Community,

ich habe mal eine Frage zum leidigen Thema SSL bzw. TLS und Zertifikatsverwaltung.

Ich betreibe eine Visu auf basis von Node Red. diese wird via Timberwolf Proxy auf die URL https://timberwolf645.local/proxy/dashboard gelegt. Dabei ist timberwolf645.local der Name des Timberwolfs in meinem Netzwerk.

Nun ist es so, dass ich zwar auf meinem Mac und damit auch auf meinem iPhone über die Zertifikat Authority Funktion das Root Zertifikat von Timberwolf CA als "trusted" markieren kann, so dass die Browser auf beiden Geräten keine Probleme mit der Verbindung zur Seite haben. Dies gilt jedoch nicht für andere Geräte, insbesondere z.b. der (wirklich schlechte) Browser vom Amazon Echo TV 15.

Hier nun meine Fragen:

1. Gibt es irgend eine Möglichkeit diesen SSL Zwang im lokalen Netzwerk auszuschalten? (eventuell hab ich ja auch was falsch gemacht), da ich nicht glaube, dass Timerwolf eine globale Trusted Authority werden kann. Somit würden immer alle Zertifikate von der CA als "untrusted" gelten.

2. Wenn das nicht der Fall ist, könnte man irgendwie LetsEncrypt ins spiel bringen über z.b. einen DynDNS Dienst? Ich bin leider in diesen Gebieten nicht der Mega Experte, daher die Fragen.

Eventuell habt ihr ja alternative Lösungen und ich mache mir mein Leben nur viel zu kompliziert.

Liebe Grüße

Sebastian
Zuletzt geändert von Parsley am Fr Sep 01, 2023 2:11 pm, insgesamt 1-mal geändert.
TWS 3500 ID:645, VPN - Werkszustand, Reboot - nach Rücksprache

blaubaerli
Reactions:
Beiträge: 2322
Registriert: Sa Sep 15, 2018 10:26 am
Wohnort: Kerpen
Hat sich bedankt: 898 Mal
Danksagung erhalten: 700 Mal

#2

Beitrag von blaubaerli »

Hallo Sebastian,

bitte passe den Betreff deines Threads noch gemäß der Forenregeln an und füge die Versionsangabe hinzu.

Danke.

Beste Grüße
Jens
wiregate1250 & timberwolf168 (2600er), VPN offen, Reboot nach Vereinbarung
Bitte WIKI lesen.
Benutzeravatar

cybersmart
Reactions:
Beiträge: 232
Registriert: Do Jan 20, 2022 6:15 pm
Wohnort: Germering
Hat sich bedankt: 135 Mal
Danksagung erhalten: 150 Mal
Kontaktdaten:

#3

Beitrag von cybersmart »

Ich fände es auch sehr gut wenn man eigene TLS Zertifikate verwenden könnte.

Für ein durchaus sicherheitskritisches Produkt macht das auf jeden Fall Sinn - alles was man sich derzeit darum baut sind sonst Krücken.

TLS Zwang deaktivieren wäre dann noch ein Workaround in manchen Situationen. So wie es aktuell ist ist es halt wirklich etwas unbefriedigend.

Also von mir gibts ein +1 auf der Wunschliste für eigene Zertifikate.

Uwe
Zuletzt geändert von cybersmart am Fr Sep 01, 2023 12:19 pm, insgesamt 1-mal geändert.
VG, Uwe

timberwolf765 VPN: closed Reboot: no
Benutzeravatar

Parsley
Reactions:
Beiträge: 541
Registriert: Di Okt 09, 2018 7:27 am
Wohnort: 490..
Hat sich bedankt: 606 Mal
Danksagung erhalten: 365 Mal

#4

Beitrag von Parsley »

Hi Sebastian

Ich habe mal 1 und 1 zusammengezählt und [V3.5.1] im Titel ergänzt. Falls das nicht stimmen sollte bitte ändern oder als Post hier kommentieren. ;)

Das Thema Zertifikate kenne und verstehe ich zwar aber ich bin leider nicht tief genug drin, um irgendwelche Lösungsansätze bieten zu können.
Gruß Parsley


Timberwolf Server 3500L #657 (VPN offen, reboot nach Absprache)

StefanW
Elaborated Networks
Reactions:
Beiträge: 9773
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4879 Mal
Danksagung erhalten: 7813 Mal
Kontaktdaten:

#5

Beitrag von StefanW »

Hi Sebastian,

leider kennen wir keine einfache Lösung für das TLS Thema.

Es ist das Browser Forum, dass die Regeln festlegt und eben klare Vorgaben zur Authentifzierung macht. Dazu muss der Hostname mit demjenigen übereinstimmen, der im Zertifikat steht. Entsprechend liefern wir die Server mit Zertifikaten passend zu ihrem Hostnamen aus.

Wenn man nun kein TLS unterstützt oder die lokale Namensauflösung nicht schafft, muss man dem Browser eben sagen, dass man trotzdem eine Verbindung will und dann sollte das bei den meisten Browsern auch klappen. Insofern gibt es keinen Zwang.

Wir haben auf unserer Liste, dass man eines Tages eigene Schlüssel mit Zertifikaten installieren kann. Das hat den Vorteil, dass man nicht unserer CA vertrauen muss (bzw. müssen tut man ja nicht, dann geht es eben über die "ich will trotzdem zugreifen" Funktionen der Browser).

Bei dem ganzen TLS Thema haben de Browser-Hersteller die im lokalen Netz gehosteten Boxen vergessen bzw. haben auch keine gute Lösung dafür.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

taurus2204
Reactions:
Beiträge: 37
Registriert: Do Mär 10, 2022 10:04 am
Hat sich bedankt: 7 Mal
Danksagung erhalten: 13 Mal

#6

Beitrag von taurus2204 »

Hallo Stefan,

dem letzten Satz kann ich so nicht ganz zustimmen. Man kann auch als Privatperson Zertifikate erhalten, die von einer CA ausgestellt wurden, die per default in der Browser-CA-Liste enthalten sind und somit auch akzeptiert werden. Die Browser-Hersteller haben da also niemanden vergessen und tragen in Summe die geringste Verantwortung in der TLS Thematik. Die bilden nur ab, was eben so der Standard ist aktuell.

Das Problem sind schlichtweg die Self-Signed-Zertifikate, die Ihr mit dem Timberwolf ausliefert. Dass per se keine Self-Signed akzeptiert werden, ist sehr sinnvoll und nicht die Schuld der Browser.

Grundsätzlich könnte man das Problem aber einfach lösen:
1. Ihr liefert mit den Timberwolf-Servern offiziell signierte Zertifikate aus. (Sicherlich keine sinnvolle Lösung, da sollten wir uns einig sein)
2. Ihr erlaubt es den Anwendern selbst Zertifikate im Timberwolf zu hinterlegen.

Letzteres ist aus meiner Sicht die einzig richtige Variante. TLS aus, oder die Möglichkeit eigene Zertifikate zu hinterlegen. Self-Signed bietet in dem Umfeld absolut keinen Mehrwert, da der Anwender nicht Herr über das System ist. Nur um sagen zu können, dass die Verschlüsselung im eigenen Netz (!) aktiv ist, brauch ich dann auch kein TLS.

Bis dahin muss man dem Browser eben - wie du auch schreibst - sagen, dass man auf das Zertifikatsthema pfeift und einfach mal "blind" vertraut.

Ich vermute aber mal, dass das auch euren Support-VPN betrifft und das dann beim Wechsel auf eigene Zertifikate noch einmal ein Problem darstellen könnte.

Viele Grüße
TWS 3500M ID:729, VPN deaktiviert, Reboot nach Rücksprache

pbm
Reactions:
Beiträge: 201
Registriert: Mo Dez 02, 2019 10:20 pm
Wohnort: Hannover
Hat sich bedankt: 120 Mal
Danksagung erhalten: 114 Mal

#7

Beitrag von pbm »

Hi Stefan
StefanW hat geschrieben: So Sep 03, 2023 7:30 pm Wir haben auf unserer Liste, dass man eines Tages eigene Schlüssel mit Zertifikaten installieren kann.
Wie weit unten steht das Thema auf der Liste?

Und in wiefern kann man über das Ausschalten von TLS nachdenken?

Weil ich da eine kleine Einschränkung habe, bezüglich der Root-CA Installation. viewtopic.php?p=53573#p53573
Zuletzt geändert von pbm am Mo Jan 29, 2024 7:27 am, insgesamt 1-mal geändert.
Schöne Grüße
Peer

TWS 2400 #466 // Wartungs-VPN: aktiv // Reboot: nach Rücksprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9773
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4879 Mal
Danksagung erhalten: 7813 Mal
Kontaktdaten:

#8

Beitrag von StefanW »

Hi Peer,

im Bereich Mitte bis oberes Drittel.

Wir wissen, dass vereinzelt Kunden eine andere Lösung brauchen. Wir haben ja einen Umbau des OS im Auge, dass dann auch IPv6 enthält und womöglich macht man das in diesem Zusammenhang, wobei ich hiermit nichts versprochen habe. Weil was einfach aussieht, ist nicht unbedingt einfach.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

thtrp
Reactions:
Beiträge: 26
Registriert: Fr Nov 26, 2021 8:53 pm
Hat sich bedankt: 9 Mal
Danksagung erhalten: 21 Mal

#9

Beitrag von thtrp »

pbm hat geschrieben: Mo Jan 29, 2024 7:25 am Und in wiefern kann man über das Ausschalten von TLS nachdenken?
Hallo Peer,

auch wenn deine Probleme nachvollziehen kann, ist meine persönliche Meinung, dass eine Deaktivierung von TLS die schlechteste Lösungsmöglichkeit ist. Der Wolf ist ein System mit allen möglichen Schnittstellen und kennt - je nach Setup - daher auch einige Credentials, ein solch zentrales System darf in meinen Augen nicht ungesichert agieren.

Wenn ich Stefan und sein Team wäre, würde ich diese Option nie anbieten, da sie im worst Case zu einer Support-Hölle führen wird:
Selbst mit deutlichen Warnungen, Disclaimern und ggf. sogar Einverständniserklärungen in einen Haftungsausschluss (sofern das juristisch überhaupt haltbar wäre) versehen kann ich mir jetzt schon vorstellen, dass es genügend User geben wird, die diese Option nutzen werden ohne sich zusätzlich abzusichern. Sollte es dann bei diesen Kunden zum Schadensfall durch einen Angriff kommen, werden sie trotz allem ganz schnell bei Elabnet mit Beschwerden und Ansprüchen (Support, Regress usw) auf der Matte stehen und sich auch ganz laut auf allen Plattform beschweren. Alleine um diesen Aufwand und Shitstorm vorbeugend zu vermeiden würde ich dieses Risiko erst gar nicht eingehen und die Option nicht einbauen. Und ja, wenn auch noch überschaubar, das Risiko existiert, siehe dazu auch [Hinweis] IT-Sicherheit am KNX-Bus.

Ergänzend dürfen wir nicht vergessen, dass es neben uns sicherlich auch den ein oder anderen Wolf in Gewerbeobjekten gibt, wo Sicherheit nochmal eine andere Rolle spielt, als im Privathaus.

Die Notwendigkeit einer Lösung für Fälle wie deinen stelle ich nicht in Abrede, aber die Deaktivierung von TLS ist mMn genauso wenig eine Lösung, wie Hintertüren für Strafverfolger in Verschlüsselungen von Kommunikationssystemen.
Viele Grüße
Thorsten
________________________________________
Wiregate / TWS 2600 ID:596 + 2 PBM, VPN: bei Bedarf, Reboot nach Rücksprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9773
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4879 Mal
Danksagung erhalten: 7813 Mal
Kontaktdaten:

#10

Beitrag von StefanW »

Hi Thorsten,

danke. Wir haben den ganzen Aufwand mit Crypto-Chip, Server-individuellen Keys, Verschlüsselung der Partition auch mit Hinblick auf die Gesetzeslage und die Verarbeitung personenbezogener Daten gemacht.

Es wird auch das Flag gesetzt, dass die Browser sich merken sollen, dass der TWS ausschließlich via TLS erreicht werden kann, eine Umstellung wäre schon aus diesem Grund schwierig, weil Browser, die einmal mit dem TWS per TLS verbunden waren, es ablehnen würden sich jemals ohne TLS zu verbinden.

Alles andere was Du gesagt hast, kommt noch oben drauf. Das einzige, worüber wir nachdenken, sind kundeneigene Zertifikate.

lg

Stefan
Zuletzt geändert von StefanW am Mo Jan 29, 2024 11:48 am, insgesamt 1-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.
Antworten

Zurück zu „Allgemeine Themen & Feature Requests“