Guten Morgen liebe Community,
ich habe mal eine Frage zum leidigen Thema SSL bzw. TLS und Zertifikatsverwaltung.
Ich betreibe eine Visu auf basis von Node Red. diese wird via Timberwolf Proxy auf die URL https://timberwolf645.local/proxy/dashboard gelegt. Dabei ist timberwolf645.local der Name des Timberwolfs in meinem Netzwerk.
Nun ist es so, dass ich zwar auf meinem Mac und damit auch auf meinem iPhone über die Zertifikat Authority Funktion das Root Zertifikat von Timberwolf CA als "trusted" markieren kann, so dass die Browser auf beiden Geräten keine Probleme mit der Verbindung zur Seite haben. Dies gilt jedoch nicht für andere Geräte, insbesondere z.b. der (wirklich schlechte) Browser vom Amazon Echo TV 15.
Hier nun meine Fragen:
1. Gibt es irgend eine Möglichkeit diesen SSL Zwang im lokalen Netzwerk auszuschalten? (eventuell hab ich ja auch was falsch gemacht), da ich nicht glaube, dass Timerwolf eine globale Trusted Authority werden kann. Somit würden immer alle Zertifikate von der CA als "untrusted" gelten.
2. Wenn das nicht der Fall ist, könnte man irgendwie LetsEncrypt ins spiel bringen über z.b. einen DynDNS Dienst? Ich bin leider in diesen Gebieten nicht der Mega Experte, daher die Fragen.
Eventuell habt ihr ja alternative Lösungen und ich mache mir mein Leben nur viel zu kompliziert.
Liebe Grüße
Sebastian
[Beantwortet] [V3.5.1] TLS + Zertifikate des Timberwolfs
Forumsregeln
- Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
- Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
- Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
- Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
-
blaubaerli
- Reactions:
- Beiträge: 1890
- Registriert: Sa Sep 15, 2018 10:26 am
- Wohnort: Kerpen
- Hat sich bedankt: 759 Mal
- Danksagung erhalten: 582 Mal
Hallo Sebastian,
bitte passe den Betreff deines Threads noch gemäß der Forenregeln an und füge die Versionsangabe hinzu.
Danke.
Beste Grüße
Jens
bitte passe den Betreff deines Threads noch gemäß der Forenregeln an und füge die Versionsangabe hinzu.
Danke.
Beste Grüße
Jens
wiregate1250 & timberwolf168 (2600er), VPN offen, Reboot nach Vereinbarung
-
cybersmart
- Reactions:
- Beiträge: 146
- Registriert: Do Jan 20, 2022 6:15 pm
- Wohnort: Germering
- Hat sich bedankt: 86 Mal
- Danksagung erhalten: 122 Mal
- Kontaktdaten:
Ich fände es auch sehr gut wenn man eigene TLS Zertifikate verwenden könnte.
Für ein durchaus sicherheitskritisches Produkt macht das auf jeden Fall Sinn - alles was man sich derzeit darum baut sind sonst Krücken.
TLS Zwang deaktivieren wäre dann noch ein Workaround in manchen Situationen. So wie es aktuell ist ist es halt wirklich etwas unbefriedigend.
Also von mir gibts ein +1 auf der Wunschliste für eigene Zertifikate.
Uwe
Für ein durchaus sicherheitskritisches Produkt macht das auf jeden Fall Sinn - alles was man sich derzeit darum baut sind sonst Krücken.
TLS Zwang deaktivieren wäre dann noch ein Workaround in manchen Situationen. So wie es aktuell ist ist es halt wirklich etwas unbefriedigend.
Also von mir gibts ein +1 auf der Wunschliste für eigene Zertifikate.
Uwe
Zuletzt geändert von cybersmart am Fr Sep 01, 2023 12:19 pm, insgesamt 1-mal geändert.
Modellreihe 35xx (3500M) Ultra 
Timberwolf ID:709 VPN: on, Reboot: yes.
ETS6, X1/S1, Mobotix x6, enocean, Modbus, MQTT, sonos, Hue, Alexa, Home Connect, eBus Wärmepumpe, E-Fahrzeug API, ESP32, iOS, MacOS, Windows10/11, Lancom, AVM
Timberwolf ID:709 VPN: on, Reboot: yes. ETS6, X1/S1, Mobotix x6, enocean, Modbus, MQTT, sonos, Hue, Alexa, Home Connect, eBus Wärmepumpe, E-Fahrzeug API, ESP32, iOS, MacOS, Windows10/11, Lancom, AVM
-
Parsley
- Reactions:
- Beiträge: 455
- Registriert: Di Okt 09, 2018 7:27 am
- Wohnort: 490..
- Hat sich bedankt: 473 Mal
- Danksagung erhalten: 303 Mal
Hi Sebastian
Ich habe mal 1 und 1 zusammengezählt und [V3.5.1] im Titel ergänzt. Falls das nicht stimmen sollte bitte ändern oder als Post hier kommentieren.
Das Thema Zertifikate kenne und verstehe ich zwar aber ich bin leider nicht tief genug drin, um irgendwelche Lösungsansätze bieten zu können.
Ich habe mal 1 und 1 zusammengezählt und [V3.5.1] im Titel ergänzt. Falls das nicht stimmen sollte bitte ändern oder als Post hier kommentieren.
Das Thema Zertifikate kenne und verstehe ich zwar aber ich bin leider nicht tief genug drin, um irgendwelche Lösungsansätze bieten zu können.
Gruß Parsley
Timberwolf Server 3500L #657 (VPN offen, reboot nach Absprache)
Timberwolf Server 3500L #657 (VPN offen, reboot nach Absprache)
-
StefanW
- Elaborated Networks
- Reactions:
- Beiträge: 8976
- Registriert: So Aug 12, 2018 9:27 am
- Wohnort: Frauenneuharting
- Hat sich bedankt: 4602 Mal
- Danksagung erhalten: 6719 Mal
- Kontaktdaten:
Hi Sebastian,
leider kennen wir keine einfache Lösung für das TLS Thema.
Es ist das Browser Forum, dass die Regeln festlegt und eben klare Vorgaben zur Authentifzierung macht. Dazu muss der Hostname mit demjenigen übereinstimmen, der im Zertifikat steht. Entsprechend liefern wir die Server mit Zertifikaten passend zu ihrem Hostnamen aus.
Wenn man nun kein TLS unterstützt oder die lokale Namensauflösung nicht schafft, muss man dem Browser eben sagen, dass man trotzdem eine Verbindung will und dann sollte das bei den meisten Browsern auch klappen. Insofern gibt es keinen Zwang.
Wir haben auf unserer Liste, dass man eines Tages eigene Schlüssel mit Zertifikaten installieren kann. Das hat den Vorteil, dass man nicht unserer CA vertrauen muss (bzw. müssen tut man ja nicht, dann geht es eben über die "ich will trotzdem zugreifen" Funktionen der Browser).
Bei dem ganzen TLS Thema haben de Browser-Hersteller die im lokalen Netz gehosteten Boxen vergessen bzw. haben auch keine gute Lösung dafür.
lg
Stefan
leider kennen wir keine einfache Lösung für das TLS Thema.
Es ist das Browser Forum, dass die Regeln festlegt und eben klare Vorgaben zur Authentifzierung macht. Dazu muss der Hostname mit demjenigen übereinstimmen, der im Zertifikat steht. Entsprechend liefern wir die Server mit Zertifikaten passend zu ihrem Hostnamen aus.
Wenn man nun kein TLS unterstützt oder die lokale Namensauflösung nicht schafft, muss man dem Browser eben sagen, dass man trotzdem eine Verbindung will und dann sollte das bei den meisten Browsern auch klappen. Insofern gibt es keinen Zwang.
Wir haben auf unserer Liste, dass man eines Tages eigene Schlüssel mit Zertifikaten installieren kann. Das hat den Vorteil, dass man nicht unserer CA vertrauen muss (bzw. müssen tut man ja nicht, dann geht es eben über die "ich will trotzdem zugreifen" Funktionen der Browser).
Bei dem ganzen TLS Thema haben de Browser-Hersteller die im lokalen Netz gehosteten Boxen vergessen bzw. haben auch keine gute Lösung dafür.
lg
Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
-
taurus2204
- Reactions:
- Beiträge: 37
- Registriert: Do Mär 10, 2022 10:04 am
- Hat sich bedankt: 7 Mal
- Danksagung erhalten: 13 Mal
Hallo Stefan,
dem letzten Satz kann ich so nicht ganz zustimmen. Man kann auch als Privatperson Zertifikate erhalten, die von einer CA ausgestellt wurden, die per default in der Browser-CA-Liste enthalten sind und somit auch akzeptiert werden. Die Browser-Hersteller haben da also niemanden vergessen und tragen in Summe die geringste Verantwortung in der TLS Thematik. Die bilden nur ab, was eben so der Standard ist aktuell.
Das Problem sind schlichtweg die Self-Signed-Zertifikate, die Ihr mit dem Timberwolf ausliefert. Dass per se keine Self-Signed akzeptiert werden, ist sehr sinnvoll und nicht die Schuld der Browser.
Grundsätzlich könnte man das Problem aber einfach lösen:
1. Ihr liefert mit den Timberwolf-Servern offiziell signierte Zertifikate aus. (Sicherlich keine sinnvolle Lösung, da sollten wir uns einig sein)
2. Ihr erlaubt es den Anwendern selbst Zertifikate im Timberwolf zu hinterlegen.
Letzteres ist aus meiner Sicht die einzig richtige Variante. TLS aus, oder die Möglichkeit eigene Zertifikate zu hinterlegen. Self-Signed bietet in dem Umfeld absolut keinen Mehrwert, da der Anwender nicht Herr über das System ist. Nur um sagen zu können, dass die Verschlüsselung im eigenen Netz (!) aktiv ist, brauch ich dann auch kein TLS.
Bis dahin muss man dem Browser eben - wie du auch schreibst - sagen, dass man auf das Zertifikatsthema pfeift und einfach mal "blind" vertraut.
Ich vermute aber mal, dass das auch euren Support-VPN betrifft und das dann beim Wechsel auf eigene Zertifikate noch einmal ein Problem darstellen könnte.
Viele Grüße
dem letzten Satz kann ich so nicht ganz zustimmen. Man kann auch als Privatperson Zertifikate erhalten, die von einer CA ausgestellt wurden, die per default in der Browser-CA-Liste enthalten sind und somit auch akzeptiert werden. Die Browser-Hersteller haben da also niemanden vergessen und tragen in Summe die geringste Verantwortung in der TLS Thematik. Die bilden nur ab, was eben so der Standard ist aktuell.
Das Problem sind schlichtweg die Self-Signed-Zertifikate, die Ihr mit dem Timberwolf ausliefert. Dass per se keine Self-Signed akzeptiert werden, ist sehr sinnvoll und nicht die Schuld der Browser.
Grundsätzlich könnte man das Problem aber einfach lösen:
1. Ihr liefert mit den Timberwolf-Servern offiziell signierte Zertifikate aus. (Sicherlich keine sinnvolle Lösung, da sollten wir uns einig sein)
2. Ihr erlaubt es den Anwendern selbst Zertifikate im Timberwolf zu hinterlegen.
Letzteres ist aus meiner Sicht die einzig richtige Variante. TLS aus, oder die Möglichkeit eigene Zertifikate zu hinterlegen. Self-Signed bietet in dem Umfeld absolut keinen Mehrwert, da der Anwender nicht Herr über das System ist. Nur um sagen zu können, dass die Verschlüsselung im eigenen Netz (!) aktiv ist, brauch ich dann auch kein TLS.
Bis dahin muss man dem Browser eben - wie du auch schreibst - sagen, dass man auf das Zertifikatsthema pfeift und einfach mal "blind" vertraut.
Ich vermute aber mal, dass das auch euren Support-VPN betrifft und das dann beim Wechsel auf eigene Zertifikate noch einmal ein Problem darstellen könnte.
Viele Grüße
TWS 3500M ID:729, VPN deaktiviert, Reboot nach Rücksprache