UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[Frage] SSL deaktivieren / eigene Zertifikate verwenden

Hier tauschen wir uns über alles aus, was das System selbst betrifft und kein eigenes Unterforum hat. Also Login, Nutzerverwaltung, Bedienung, Menüstruktur, OS-Updates usw.
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
Antworten

Ersteller
bluegaspode
Reactions:
Beiträge: 72
Registriert: Sa Nov 09, 2019 10:09 pm
Hat sich bedankt: 7 Mal
Danksagung erhalten: 31 Mal

SSL deaktivieren / eigene Zertifikate verwenden

#1

Beitrag von bluegaspode »

Gibt es eine Möglichkeit, SSL im Timberwolf Server zu deaktivieren (oder das verwendete Zertifikat auszutauschen)?

Hintergrund:
Ich halte es für das größere Sicherheitsrisiko eine neue Root-CA eines fremden Herstellers in all meinen Systemen zu hinterlegen als dass der der Traffic in meinem eigenen Netzwerk über http verschickt wird (wird er sowieso, da kein KNX Secure vorhanden).

Die Sicherheitswarnung in allen Browsern ist aber auch ziemlich nervig.
Zuletzt geändert von bluegaspode am Sa Nov 16, 2019 10:40 pm, insgesamt 1-mal geändert.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"
Benutzeravatar

Chris M.
Reactions:
Beiträge: 1190
Registriert: Sa Aug 11, 2018 10:52 pm
Wohnort: Oberbayern
Hat sich bedankt: 234 Mal
Danksagung erhalten: 853 Mal
Kontaktdaten:

#2

Beitrag von Chris M. »

Du müsstest den Browsern (v.a. dem Chrome) dann aber beibringen, dass die auch alle Features bei HTTP und nicht nur bei HTTPS Verbindungen freischalten.

Hier nutzt Google seine Marktmacht schamlos aus und ignoriert Intranet-Appliances im privaten Intranet komplett.
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.

TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache

Ersteller
bluegaspode
Reactions:
Beiträge: 72
Registriert: Sa Nov 09, 2019 10:09 pm
Hat sich bedankt: 7 Mal
Danksagung erhalten: 31 Mal

#3

Beitrag von bluegaspode »

Chris M. hat geschrieben: Sa Nov 16, 2019 10:20 pm Hier nutzt Google seine Marktmacht schamlos aus und ignoriert Intranet-Appliances im privaten Intranet komplett.
Naja - stimmt ja nicht so ganz.
Es gibt ja Wege, wie ich für Intranet Appliances ein ordentliches Zertifikat bekommen, OHNE einem dritten (nicht-CA) Unternehmen sehr relevanten Zugang (als Root-CA) zu all meinen Systemen gewähre.

Daher natürlich von der Prio her:
#1: eigenes Zertifikat verwenden können
#2: lokale individuelle CA + Zertifikat im Timberwolf
#3: SSL abschalten können, bis das ermöglicht wird ?

Elaborated Networks genießt ein hohes Vertrauen bei mir, aber nicht genug Vertrauen als CA installiert zu werden.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"

James_T_Kirk
Reactions:
Beiträge: 309
Registriert: Do Sep 13, 2018 10:54 pm
Hat sich bedankt: 99 Mal
Danksagung erhalten: 120 Mal

#4

Beitrag von James_T_Kirk »

Hallo Stefan,

du musst nicht zwingend der CA vertrauen (mache ich auch nicht). Es reicht wenn du dem einen Zertifikat vertraust. Da es dem Hostnamen des TWS entspricht, bringt auch der Browser wieder eine Warnung wenn es woanders an falscher Stelle eingesetzt würde.
Zumindest geht das im FIrefox, wie es im Chrome aussieht weiß ich nicht. Chromne nutzt meines wissens den Windows CA Trust - hier könnte man also mit der Zertifikate MMC das TWA cert als vertrauenswürdiges Zertifikat hinzufügen.
TWS 950Q 435 verkauft, umgestiegen auf Home Assistant

Ersteller
bluegaspode
Reactions:
Beiträge: 72
Registriert: Sa Nov 09, 2019 10:09 pm
Hat sich bedankt: 7 Mal
Danksagung erhalten: 31 Mal

#5

Beitrag von bluegaspode »

Hi @James_T_Kirk
stimmt - so geht es - individuell dem Einzelzertifikat vertrauen.

Hier die Anleitung wie das auf dem Mac geht.
https://www.accuweaver.com/2014/09/19/m ... te-on-osx/

Jetzt muss ich noch rausfinden, wie ich das den Android Telefonen beibringen, ein vermutlich lösbares Problem.
"TWS 350Q ID:417, VPN geschlossen, Reboot nicht erlaubt"

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#6

Beitrag von StefanW »

Hallo zusammen,

ja, im Firefox unter Windows ist es einfach, dort kann man nur dem einzelnen Zertifikat vertrauen.

Die Möglichkeit eigene Zertifikate zu erzeugen / hochzuladen steht auf der Liste und wird auch eines Tages kommen. War nicht im Fokus für die erste Version.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.
Antworten

Zurück zu „System“