UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[Frage] [V1.5 RC11] Frage zur TLS Zertifikat-Installation auf iOS Geräten

Hier tauschen wir uns über alles aus, was das System selbst betrifft und kein eigenes Unterforum hat. Also Login, Nutzerverwaltung, Bedienung, Menüstruktur, OS-Updates usw.
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#41

Beitrag von StefanW »

Hallo Earl,

danke sehr, diese ständiges drehen an den Daumenschrauben des Browser Konsortiums ist echt anstrengend.

Vor allem, es bringt nur wenig. Den der wesentlichste Angriffspunkt ist ja nicht unbedingt die Authentifizierung oder die anschließende Verschlüsselung, sondern die Social Attacks auf die Anwender und der sorglose Umgang der Daten durch Serverbetreiber. Was nützt es, die Kreditkartendaten verschlüsselt zu übertragen, wenn diese anschließend unverschlüsselt in Datenbanken gespeichert sind die dann für alle offen in einem S3 Bucket zum download bereit stehen.

Aber es nützt nichts, da müssen wir uns beugen und unsere Stammzertifikate neu generieren. Das Thema "import eigener Zertifikate" kommt damit auch wieder hoch wie auch die Überlegung, hier evt. doch mit LetsEncrypt zu arbeiten, da dies nun mittlerweile ein ausgereifteter Weg ist, zumal der angedachte Weg über SwissSign preislich schwer realisierbar ist.

Wir werden mal darüber nachdenken, wie wir das machen.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Sun1453
Reactions:
Beiträge: 1849
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 1541 Mal
Danksagung erhalten: 788 Mal

#42

Beitrag von Sun1453 »

Bitte kein LetsEncrypt dort stehen dann alle Adressen im Netz. Da will ich lieber ein eigenes Zertifikat und bezahl dafür auch.
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache | PROD Server
Timberwolf 2500 #602 | VPN offen | TEST Server | Reboot nach Absprache |

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#43

Beitrag von StefanW »

Michael,

meinst Du das Certificate Transparency Log? Das ist ansich durchaus sinnvoll und die Browser werden auch beginnen vor Zertifiakten zu warnen, die nicht über ein solches Log verifiziert werden können.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

EarlBacid
Reactions:
Beiträge: 371
Registriert: So Aug 26, 2018 5:59 pm
Wohnort: Herborn
Hat sich bedankt: 134 Mal
Danksagung erhalten: 235 Mal

#44

Beitrag von EarlBacid »

Hallo Stefan,

da habe ich durchaus ein paar Anmerkungen/Ideen/Vorstellungen meinerseits:
StefanW hat geschrieben: Do Feb 13, 2020 5:55 pm Hallo Earl,

danke sehr, diese ständiges drehen an den Daumenschrauben des Browser Konsortiums ist echt anstrengend.

Vor allem, es bringt nur wenig. Den der wesentlichste Angriffspunkt ist ja nicht unbedingt die Authentifizierung oder die anschließende Verschlüsselung, sondern die Social Attacks auf die Anwender und der sorglose Umgang der Daten durch Serverbetreiber. Was nützt es, die Kreditkartendaten verschlüsselt zu übertragen, wenn diese anschließend unverschlüsselt in Datenbanken gespeichert sind die dann für alle offen in einem S3 Bucket zum download bereit stehen.
Einer der Hauptgründe für geringere Gültigkeit ist, dass nur so gewährleistet ist, dass kryptographische Fehler, die heute noch nicht bekannt sind wenigstens in absehbarer Zeit gefixt werden. Sei es z.B. die Anforderung an längere Keys oder eine neue Erstellung von Keys wegen Bekanntwerdens einer Schwäche wie z.B. Heartbleed.

StefanW hat geschrieben: Do Feb 13, 2020 5:55 pm Aber es nützt nichts, da müssen wir uns beugen und unsere Stammzertifikate neu generieren. Das Thema "import eigener Zertifikate" kommt damit auch wieder hoch wie auch die Überlegung, hier evt. doch mit LetsEncrypt zu arbeiten, da dies nun mittlerweile ein ausgereifteter Weg ist, zumal der angedachte Weg über SwissSign preislich schwer realisierbar ist.
Euer Stammzertifikat ist von der "neuen" Einschränkung nicht betroffen. Root CAs dürfen nach wie vor eine "unbegrenzte" Gültigkeit haben. Nur die davon signierten Zertifikate nicht.

Nach wie vor halte ich es aber für schwierig, dass ihr eure eigene CA betreibt, da ihr auch schon den Anforderungen an eine solche kaum gerecht werden könnt und es für euch wirtschaftlich kaum tragbar sein würde, zu versuchen diesen Gerecht zu werden. Damit halte ich es immer noch für ein Sicherheitsrisiko, dass es zwingend notwendig ist, eurer CA als root CA zu installieren und zu vertrauen.


Ein sinnvoller Weg, meines Erachtens nach, wäre der folgende:

1. ihr könnt eure CA mit samt der ausgelieferten Zertifikate für Wartungs-VPN und Support Zugriff auf die Wölfe verwenden. Ein binden des Zertifikats im Web-Server auf die IP-Adresse des Tunneladapters sollte kein all zu großer Aufwand sein.
Damit bleibt es auch bei euch, eure CA als Vertrauenswürdig einzustufen, und solltet eurer CA etwas "zustoßen", so müssen nicht hunderte oder gar tausende Endgeräte manuell gefixt werden (sofern man diese überhaupt informiert bekommt).

2. Der Zugriff mit auf die TWS UI kann wahlweise über HTTP und/oder HTTPS erfolgen. Im Heimnetzwerk gibt es hierfür nach wie vor nur in wenigen Fällen eine echte Anforderung hierfür. Einziges Risiko sehe ich nur bei Anwendern, die hier auf die Idee kommen Port 80 über Portforwarding aus dem Internet verfügbar zu machen. Wenn ihr dem zuvorkommen wollt, wäre ein Eintrag in der Firewall, der eingehende Verbindungen auf Port 80 nur von RFC 1918 Adressen aus zulässt eine einfache aber wirkungsvolle Möglichkeit.
Letzten Endes obliegt es aber in der Verantwortung des Benutzers, ob er sich für eine Verschlüsselte Übertragung (und den damit einhergehenden "Schwierigkeiten") entscheidet, oder eben nicht Es reicht hier meiner Meinung nach aus, auf der Login Seite beim Zugriff über HTTP einen entsprechenden Warnhinweis zu platzieren. Evtl. noch einen link auf die HTTPS Version.
Dies würde aber gleich mehrere eurer jetzigen Probleme lösen:
-andere Systeme, die z.B. Grafana einbinden wollen, dies aber nicht über HTTPS können, würden somit funktionieren.
-Allen, die Probleme mit der fix vorgegebenen Namensgebung haben, wäre damit geholfen.

3a. Solange der Zugriff ebenfalls über HTTP möglich ist, sind alle Optionen zur Verwaltung der Zertifikate im TWS lediglich ein Angebot eurerseits dies den Benutzern abzunehmen und HTTPS als Feature zu nutzen, eben mit den Einschränkungen die ihr heute auch habt bezüglich Vertrauensstellung eurer CA und die fixe Bindung an den von euch fest vorgegebenen Namen. Wem dieses Angebot so nicht passt, kann/muss dieses eben nicht nutzen, muss dann aber eben mit HTTP vorlieb nehmen.

3b. Gibt es definitiv keine Möglichkeit auch über HTTP auf den Wolf zuzugreifen, so ergeben sich einige bereits vor einiger Zeit diskutierte Anforderungen an die Verwaltung der Zertifikate:
- Dazu gehört auf jeden Fall die Möglichkeit das Zertifikat durch ein eigenes auszutauschen als absolutes Minimum.
- Einen Request zu erstellen (und dabei auch die SANs anzupassen) ist auf jeden Fall wünschenswert, aber nicht zwingend notwendig.
- Automatisch über eine Public CA wie Lets Encrypt ein Zertifikat zu erstellen und regelmäßig zu aktualisieren ist sicherlich die Kür, bringt aber wieder die Problematik mit der Namensauflösung mit sich, da hierfür ein Zugriff von Außen und die Verwendung eines Public DNS Namens von Nöten wird. Dies ist also nur in speziellen Fällen möglich und erfordert auf jeden Fall weitere Schritte seitens des Anwenders, was somit kaum vorauszusetzen ist als alleinige Möglichkeit ein Zertifikat zu erzeugen.

VG
Earl
Wiregate#1504 + PBM -
Timberwolf 950Q #233 / VPN aktiv / Reboot OK
EFH mit KNX, 1-Wire, DMX, PV und Strom über MQTT
Docker: MQTT Broker, Unifi WLAN Controller, NodeJS, CometVisu

JulianD
Reactions:
Beiträge: 19
Registriert: So Dez 02, 2018 8:51 pm
Hat sich bedankt: 16 Mal
Danksagung erhalten: 5 Mal

#45

Beitrag von JulianD »

Hallo Earl,

Vielen vielen Dank für deine Ausdauer und dass du das Problem gefunden hast! Auch wenn es damit für mich erst mal unlösbar bleibt.

Ansonsten hoffe ich auf eine auch für den Hausgebrauch praktikable Lösung (ich sehe da auch keinen Grund für https), habe da aber vollstes Vertrauen, dass sich ElabNET was gutes einfallen lässt.
TWS350Q ID:407, VPN offen, Reboot erlaubt

alexbeer
Reactions:
Beiträge: 394
Registriert: Mi Sep 12, 2018 1:11 am
Wohnort: NRW
Hat sich bedankt: 212 Mal
Danksagung erhalten: 251 Mal

#46

Beitrag von alexbeer »

Hi,
Das wird wohl zukünftig noch schlimmer.
Apple will nur noch TLS Zertifikate mit Laufzeit von 13 Monaten akzeptieren.
S. zB https://www.golem.de/news/apple-safari- ... 46779.html

Echt nervig...

VG Alex
Zuletzt geändert von alexbeer am Fr Feb 21, 2020 6:07 pm, insgesamt 1-mal geändert.
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#47

Beitrag von StefanW »

Danke Alex,

Kurzes Statement zum Thema:

Im 1. Schritt werden wir - sobald das fertig entwickelt ist - eine automatische Rezertifizierung über die Timberwolf Cloud vornehmen. Das muss noch eingerichtet werden. Die Timberwolf Server erzeugen dann lokal das KeyPair und senden einen Certificate Signing Request an unsere eigene CA.

Die angesprochene Umstellung auf non-https ist schwierig, weil wir "HTTP Strict Transport Security" gesetzt haben und die bisher benutzten Browser das speichern. Ich weiß nicht welche "maxtime" von uns gesetzt wird aber so einfach abschaltbar wird das nicht sein (weil dieses Flag den Downgrade verhindern soll).

In einem späteren Schritt prüfen wir, wie wir alternativ vom Anwender generierte Zertifikate zulassen können.

lg

Stefan
Zuletzt geändert von StefanW am Fr Feb 21, 2020 8:50 pm, insgesamt 2-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Jache
Reactions:
Beiträge: 30
Registriert: Do Aug 20, 2020 1:06 pm
Hat sich bedankt: 12 Mal
Danksagung erhalten: 34 Mal

#48

Beitrag von Jache »

Hallo gibt es hierfür nun eine Lösung. Habe exakt das gleiche Problem...
TWS 2500, ID508, VPN offen, Reboot nach Rücksprache

Jache
Reactions:
Beiträge: 30
Registriert: Do Aug 20, 2020 1:06 pm
Hat sich bedankt: 12 Mal
Danksagung erhalten: 34 Mal

#49

Beitrag von Jache »

Nochmals genau geschaut. Es geht nicht ab iOS13. Mit iOS 10 und iOS 11 funktioniert es... Hier brauche ich dringend eine Lösung, da die Bedienung mit einem iPad nich funktioniert, was es aber soll.... Habe kein anderen Rechner oder Laptop, sondern nur einen kleinen Windows PC ohne Monitor ohne alles wo nur eine ETS drauf läuft, die mittels Remote Desktop bei Gebrauch über das iPad aufgerufen wird...
Zuletzt geändert von Jache am Do Aug 27, 2020 9:38 pm, insgesamt 1-mal geändert.
TWS 2500, ID508, VPN offen, Reboot nach Rücksprache

EarlBacid
Reactions:
Beiträge: 371
Registriert: So Aug 26, 2018 5:59 pm
Wohnort: Herborn
Hat sich bedankt: 134 Mal
Danksagung erhalten: 235 Mal

#50

Beitrag von EarlBacid »

StefanW hat geschrieben: Fr Feb 21, 2020 6:37 pm
Die angesprochene Umstellung auf non-https ist schwierig, weil wir "HTTP Strict Transport Security" gesetzt haben und die bisher benutzten Browser das speichern. Ich weiß nicht welche "maxtime" von uns gesetzt wird aber so einfach abschaltbar wird das nicht sein (weil dieses Flag den Downgrade verhindern soll).
Hi @StefanW
Bei HTTP Strict Transport Security lässt sich die max-age auf 0 setzen womit anschließend auch wieder eine unverschlüsselte Verbindung akzeptiert wird und somit ein Einschalten von klassischem HTTP ermöglicht.
Das wäre meines Erachtens nach die schnellste und am einfachsten umzusetzende Lösung.

VG
Earl
Wiregate#1504 + PBM -
Timberwolf 950Q #233 / VPN aktiv / Reboot OK
EFH mit KNX, 1-Wire, DMX, PV und Strom über MQTT
Docker: MQTT Broker, Unifi WLAN Controller, NodeJS, CometVisu
Antworten

Zurück zu „System“