Gibt es eine Möglichkeit, SSL im Timberwolf Server zu deaktivieren (oder das verwendete Zertifikat auszutauschen)?
Hintergrund:
Ich halte es für das größere Sicherheitsrisiko eine neue Root-CA eines fremden Herstellers in all meinen Systemen zu hinterlegen als dass der der Traffic in meinem eigenen Netzwerk über http verschickt wird (wird er sowieso, da kein KNX Secure vorhanden).
Die Sicherheitswarnung in allen Browsern ist aber auch ziemlich nervig.
UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
[Frage] SSL deaktivieren / eigene Zertifikate verwenden
Forumsregeln
- Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
- Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
- Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
- Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
-
- Reactions:
- Beiträge: 72
- Registriert: Sa Nov 09, 2019 10:09 pm
- Hat sich bedankt: 7 Mal
- Danksagung erhalten: 31 Mal
SSL deaktivieren / eigene Zertifikate verwenden
Zuletzt geändert von bluegaspode am Sa Nov 16, 2019 10:40 pm, insgesamt 1-mal geändert.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"
-
- Reactions:
- Beiträge: 1190
- Registriert: Sa Aug 11, 2018 10:52 pm
- Wohnort: Oberbayern
- Hat sich bedankt: 234 Mal
- Danksagung erhalten: 853 Mal
- Kontaktdaten:
Du müsstest den Browsern (v.a. dem Chrome) dann aber beibringen, dass die auch alle Features bei HTTP und nicht nur bei HTTPS Verbindungen freischalten.
Hier nutzt Google seine Marktmacht schamlos aus und ignoriert Intranet-Appliances im privaten Intranet komplett.
Hier nutzt Google seine Marktmacht schamlos aus und ignoriert Intranet-Appliances im privaten Intranet komplett.
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!
CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.
TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache
CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.
TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache
-
- Reactions:
- Beiträge: 72
- Registriert: Sa Nov 09, 2019 10:09 pm
- Hat sich bedankt: 7 Mal
- Danksagung erhalten: 31 Mal
Naja - stimmt ja nicht so ganz.
Es gibt ja Wege, wie ich für Intranet Appliances ein ordentliches Zertifikat bekommen, OHNE einem dritten (nicht-CA) Unternehmen sehr relevanten Zugang (als Root-CA) zu all meinen Systemen gewähre.
Daher natürlich von der Prio her:
#1: eigenes Zertifikat verwenden können
#2: lokale individuelle CA + Zertifikat im Timberwolf
#3: SSL abschalten können, bis das ermöglicht wird ?
Elaborated Networks genießt ein hohes Vertrauen bei mir, aber nicht genug Vertrauen als CA installiert zu werden.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"
-
- Reactions:
- Beiträge: 309
- Registriert: Do Sep 13, 2018 10:54 pm
- Hat sich bedankt: 99 Mal
- Danksagung erhalten: 120 Mal
Hallo Stefan,
du musst nicht zwingend der CA vertrauen (mache ich auch nicht). Es reicht wenn du dem einen Zertifikat vertraust. Da es dem Hostnamen des TWS entspricht, bringt auch der Browser wieder eine Warnung wenn es woanders an falscher Stelle eingesetzt würde.
Zumindest geht das im FIrefox, wie es im Chrome aussieht weiß ich nicht. Chromne nutzt meines wissens den Windows CA Trust - hier könnte man also mit der Zertifikate MMC das TWA cert als vertrauenswürdiges Zertifikat hinzufügen.
du musst nicht zwingend der CA vertrauen (mache ich auch nicht). Es reicht wenn du dem einen Zertifikat vertraust. Da es dem Hostnamen des TWS entspricht, bringt auch der Browser wieder eine Warnung wenn es woanders an falscher Stelle eingesetzt würde.
Zumindest geht das im FIrefox, wie es im Chrome aussieht weiß ich nicht. Chromne nutzt meines wissens den Windows CA Trust - hier könnte man also mit der Zertifikate MMC das TWA cert als vertrauenswürdiges Zertifikat hinzufügen.
TWS 950Q 435 verkauft, umgestiegen auf Home Assistant
-
- Reactions:
- Beiträge: 72
- Registriert: Sa Nov 09, 2019 10:09 pm
- Hat sich bedankt: 7 Mal
- Danksagung erhalten: 31 Mal
Hi @James_T_Kirk
stimmt - so geht es - individuell dem Einzelzertifikat vertrauen.
Hier die Anleitung wie das auf dem Mac geht.
https://www.accuweaver.com/2014/09/19/m ... te-on-osx/
Jetzt muss ich noch rausfinden, wie ich das den Android Telefonen beibringen, ein vermutlich lösbares Problem.
stimmt - so geht es - individuell dem Einzelzertifikat vertrauen.
Hier die Anleitung wie das auf dem Mac geht.
https://www.accuweaver.com/2014/09/19/m ... te-on-osx/
Jetzt muss ich noch rausfinden, wie ich das den Android Telefonen beibringen, ein vermutlich lösbares Problem.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"
-
- Elaborated Networks
- Reactions:
- Beiträge: 9689
- Registriert: So Aug 12, 2018 9:27 am
- Wohnort: Frauenneuharting
- Hat sich bedankt: 4831 Mal
- Danksagung erhalten: 7632 Mal
- Kontaktdaten:
Hallo zusammen,
ja, im Firefox unter Windows ist es einfach, dort kann man nur dem einzelnen Zertifikat vertrauen.
Die Möglichkeit eigene Zertifikate zu erzeugen / hochzuladen steht auf der Liste und wird auch eines Tages kommen. War nicht im Fokus für die erste Version.
lg
Stefan
ja, im Firefox unter Windows ist es einfach, dort kann man nur dem einzelnen Zertifikat vertrauen.
Die Möglichkeit eigene Zertifikate zu erzeugen / hochzuladen steht auf der Liste und wird auch eines Tages kommen. War nicht im Fokus für die erste Version.
lg
Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.