Eigenes SSL Zertifikat

[Spyder2005]

Hallo Zusammen,

habe die XT2 Plus schon länger im Einsatz und wollte Sie jetzt mal mit einem validen SSL Zertifikat ausstatten. Kann es sein, das das gar nicht möglich ist? Hab in den Menüs und in der Doku nichts dazu gefunden sein eigenes Zertifikat zu verwenden?

Falls nicht, wäre das für ein Sicherheitsunternehmen schon eine schwache Leistung.

Grüße

[dxbln]

Die bloße Tatsache, dass das Zertifikat selbst signiert ist, macht die SSL-Verbindung ja auch nicht unsicherer oder schlechter, auch wenn der eine oder andere Browser das gerne mit apokalyptischen Worten in der Fehlermeldung suggeriert.

Theoretisch könnte man das SSL-Cert sicherlich austauschbar gestalten, in der Praxis würde man damit wohl eine prominente Stelle schaffen, um sich den Zugang nachhaltig zu zerschießen, wenn der embedded Webserver dann nicht mehr starten will.

[Spyder2005]

Das kann ich so leider nicht unterschreiben. Die Daten werden natürlich auch bei einem selbst signierten Zertifikat mit 256bit verschlüsselt.

Wer mir diese Daten aber schickt, kann ich nicht mehr prüfen. Stichwort: Authentizität

Unter Authentizität bei SSL Zertifikaten versteht man, dass ich die Identität der Gegenstelle überprüfen kann. Durch diese Sicherstellung der Identität meiner Alarmanlage, weiß ich genau wo ich meine Credentials hinschicke.

Andere Softwarehersteller schaffen es auch Fehleingaben zu verhindern und valide Einträge zu generieren. Wer sich damit nicht auskennt, soll halt die Finger davon lassen und muss sich ja nicht zwingend drum kümmern.

Ein nicht austauschbares SSL Cert ist aus IT-Sicherheitssicht ein NoGo.

[evertech]

(28-08-2017 11:03)Spyder2005 schrieb:  Ein nicht austauschbares SSL Cert ist aus IT-Sicherheitssicht ein NoGo.

Damit hast du natürlich absolut recht. Aber indem zum Glück alles nur von der Software abhängig ist und wenn dem wirklich so ist wie du sagst, wird wohl der Hersteller irgendwann infolge Kundendruck nachbessern (müssen). Seit Sn*owd*en wacht man auch in Westeuropa langsam auf und lässt sich Sicherheit nicht mehr so einfach unbeschaut vom Rest der Welt schenken.
..
Nebenbei noch; Die kostenlose LetsEncrypt Zertifikatschleuder ist für einen Paranoiden (meinereiner) auch ein wenig bedenklich. Den der Server von denen steht,so wie mir vor kurzem zugetragen wurde, hier anscheinend auch im Amiland. Daher bleibts wohl nicht aus sich in dieser Angelegenheit ebenfalls in der Heimat umzusehen.
Der Ami nimmt gern German Cars, German Tools und daher ist es Zeit das er bald auch Respekt von German Crypt bekommt. In diesem Land gibts ne Menge gute Leute nur leider vertreibt man die infolge Unterbezahlung.

[dxbln]

(28-08-2017 11:03)Spyder2005 schrieb:  Ein nicht austauschbares SSL Cert ist aus IT-Sicherheitssicht ein NoGo.

So ziemlich alle Plastikschachteln mit Ethernet begehen allerdings das identische Verbrechen. Selbst AVM, da könnte man sogar noch mit der Bahn hinfahren und die noch in allen Nuancen einer Muttersprache bekehren und verdammen. (Obwohl ...war da nicht dieses "bekomme telnet gegen Garantieverlust" bei der Fritzbox? )
Aus IT-Sicht ist das ja irgendwie immerhin auch noch besser als garkein TLS. Man muß da wohl auch der Realität ins Auge sehen, dass Lupusec das erst mal nach Taiwan (?) als Problem hocheskalieren müßte, bevor der OEM da sein OS-Team drauf ansetzen würde. Und am Ende klingelt gar doch wieder ein Handy in Schenzen...

Ich persönlich setze ja eher auf Zugriff auf solches Gerät nur via VPN, da sind die aktiv beteiligten Open-SSL-Bibliotheken auch gern mal ein paar Jahre frischer und man hat generell mehr Frieden vor den shodans dieser Welt. Und wenn ich dann dem einen letzten Hop in meiner trustzone nicht mehr trauen kann ... würde ich sofort in Aluminium long gehen

[Cursor]

(28-08-2017 10:01)Spyder2005 schrieb:  Hallo Zusammen,

habe die XT2 Plus schon länger im Einsatz und wollte Sie jetzt mal mit einem validen SSL Zertifikat ausstatten. Kann es sein, das das gar nicht möglich ist? Hab in den Menüs und in der Doku nichts dazu gefunden sein eigenes Zertifikat zu verwenden?

Falls nicht, wäre das für ein Sicherheitsunternehmen schon eine schwache Leistung.

Grüße

Auch wenn dies wahrscheinlich die meisten HomeUser scheut, wäre eine sog. WebApplicationFirewall (WAF) dafür die korrekte Komponente / Lösung. Damit könntest Du nicht nur die Sicherheit erhöhen, weil Du vielleicht TLS 1.2 betreiben kannst obwohl das Gerät ggf. nur TLS 1.0 oder dergleichen kann, sondern könntest auch das Problem des Zerifikates umgehen.
Ich will hier keine Werbung machen, es gibt Hersteller, die stellen Ihre Produkte für Privatkunden kostenlos zur Verfügung.