Neue Funktion: Zertifikat laden/prüfen

[s.normal]

BoxToGo-Version (Menütaste-Info):1.8.3
FRITZ!Box-Modell & Firmware (http://fritz.box-Übersicht):06.01
Android-Version (Android-Einstellungen-Telefoninfo):4.3

Hallo,
habe die mit der BoxToGo Version 1.8.1 eingeführte Funktion Zertifikat laden/prüfen aktiviert. Ich dachte, dass dadurch die lästige Anzeige "Das Sicherheitszertifikat der Website ist nicht vertrauenswüdig!" im Browser verschwinden würde.

Das ist aktuell nicht der Fall.

Schöne Grüße
Stefan

[almiandy]

Hallo,

Das eine hat mit dem anderen nichts zu zun.


Andreas

[almisoft]

@Andreas: Doch, das geht schon in dieselbe Richtung.

Wenn du z.B. google.de aufrufst, ist deren Zertifikat von Google Internet Authority abgesegnet. Und deren Zertifikat ist wiederum von GeoTrust als gut befunden.
Und das Zertikat von GeoTrust kennt jeder Webbrowser. So kann sich jeder, der google.de aufruft, sicher sein, dass er wirklich auf google.de ist und nicht bei einem datenklauenden Betrüger.

Die auf den FRITZ!Boxen installierten Zertifikate sind jedoch selbst-signiert. Der Webbrowser und auch BoxToGo können daher nicht sicher sein, dass sie wirklich die eigene FRITZ!Box kontaktiert haben.
Aus diesem Grund erscheint im Webbrowser eine entsprechende Warnung. Und wenn man in BoxToGo die Benutzeroberfläche aufruft, wird sie im Webbrowser angezeigt, samt "Das Sicherheitszertifikat der Website ist nicht vertrauenswüdig!". Das geht technisch nicht anders und ist auch gut so.

BoxToGo selbst hat bisher diese Sicherheitsmeldung unterdrückt.
Die aktuelle Beta dagegen prüft das Zertifikat bei jedem Verbindungsaufbau.
Wenn sich das Zertifikat geändert hat, erscheint eine entsprechende Warnung.
Das ganze ist zwar nicht so sicher wie eine Zertifizierungsstelle ala GeoTrust, aber immerhin besser als bisher.

Einen Nachteil hat es jedoch: Wenn man die FRITZ!Box neu startet, kann es passieren, dass sich auch das Zertifikat ändert.
Man muss dann das neue Zertifikat wieder in BoxToGo laden.
Und das sollte man aus Sicherheitsgründen nur dann machen, wenn man im Heim-WLAN ist.

[s.normal]

Ok, danke!
Hat mich interessiert wie der Warnhinweis denn aussieht.
Wollte durch Neustart der FRITZ!Box eine Zertifikatsänderung erzwingen, jedoch ohne Erfolg. Werde das mal beobachten und berichten.

Grüße
Stefan

[almisoft]

Ggf. hast du Erfolg, wenn du die MyFRITZ!- oder DynDns-Konfiguration änderst und wieder zurückänderst.

[s.normal]

Ggf. hast du Erfolg, wenn du die MyFRITZ!- oder DynDns-Konfiguration änderst und wieder zurückänderst.

Hat leider nicht funktioniert! Ich warte mal ab. Irgendwann wird der Warnhinweis (soweit er denn funktioniert) kommen

[almisoft]

Ich habe bei meiner 7390 das Dynamic DNS eingeschaltet (war vorher ausgeschaltet), so dass die FRITZ!Box nun auch unter einem anderen Namen im Internet erreichbar ist. Damit generiert die FRITZ!Box ein neues Zertifikat.
Danach habe ich in BoxToGo die Anrufliste aktualisiert, wobei folgende Fehlermeldung erschien.
Nach dem Laden des Zertifikats über Einstellungen-Zugangsdaten klappte es dann wieder.

Du kannst dir übrigens das FRITZ!Box-Zertifikat im Browser anschauen.
Gebe dazu die DynDns- oder MyFRITZ!-Adresse oder https://EXTERNE_IP im Browser ein.
Nachdem du die Warnung abgenickt hast, klicke in der Adresszeile auf das Schloss-Symbol.
Notiere die z.B. den Fingerabdruck, dann kannst du später nachschauen, ob er sich geändert hat.
Denn dann hat die FRITZ!Box auch ein neues Zertifikat.

[s.normal]

Vielen Dank für den Hinweis.

Ich nutze nur "dyndns". Habe mir jetzt den Fingerabdruck notiert und mal schauen wann der sich in der FritzBox ändert.
Wie ich bereits geschrieben habe, hat ein Neustart nicht dazu geführt. Also bleibt nur abwarten und gelegentlich den Fingerabdruck checken bzw. abwarten bis BoxToGo den Warnhinweis bringt.

[almisoft]

Na, du muss sich schon etwas verändern, damit die FRITZ!Box das Zertifikat neu erstellt.
Ändere doch einfach mal den Domainnamen in der Dymamic DNS-Einstellung auf einen Phantasiewert. Stelle es danach wieder auf den richtigen Wert.

[s.normal]

oh jee, habe dummerweise die DynDns Konfiguration in der BoxToGo geändert und mich gefragt, welchen Sinn das haben soll?!?!? Wieso soll dadurch die FritzBox eine neues Zertifikat bekommen

Ok, habe die DynDns-Konfig in der FritzBox auf einen Phantasiewert geändert und wieder zurück.
Die Überprüfung des Zertifikats anhand deiner Beschreibung hat gezeigt, dass die Box ein neues Zertifikat erstellt hat.

Beim Laden der Anrufliste aus BoToGo kann jedoch kein Warnhinweis obwohl unter Einstellungen --> Zugangsdaten der Punkt "Zertifikat prüfen" aktiviert ist.

Habe anschl. das neue Zertifikat im WLAN-Netz neu geladen. In BoxToGo erscheint der neue Zertifikats-Timestamp.

Update:
Sorry habe es noch einmal probiert und jetzt funktioniert es einwandfrei. Habe keine Erklärung dafür. Evtl. habe ich den WLAN-Zugriff statt LAN-Zugriff in BoxToGo gewählt. Im WLAN-Netz prüft BoxToGo die Zertifikate ja nicht.

[almisoft]

Na super, und ich sitze hier zwei Stunden und versuche es nachzustellen...
Aber trotzdem danke. Es wäre ja fatal, wenn diese Zertifikatsprüfung unsauber programmiert ist und nicht sicher vor bösen Buben schützt.
Da lohnt es sich, die Implementierung noch einmal zu hinterfragen.
Habe aber keine Fehler gefunden.

Komischerweise kann man sich irgendwie nicht darauf verlassen, dass die FRITZ!Box ein neues Zertifikat ausstellt, wenn man etwas beim DynDns ändert.
Aber wenn sie dann mal ein neues hat, zeigt BoxToGo sofort den Fehler an.

Nun wäre die Frage, ob ich die Option "Zertifikat prüfen" standardmäßig aktivieren sollte.
Was meint ihr?

[ilkaskim]

Es dient der Sicherheit also kann von mir aus immer aktiv bleiben.

[bregie1982]

Seh ich genau so.