Ergebnis 1 bis 9 von 9
  1. #1
    Mitglied
    Registriert seit
    25.07.2014
    Beiträge
    58
    Thanks (gegeben)
    55
    Thanks (bekommen)
    3
    Total Downloaded
    83,84 MB
    Total Downloaded
    83,84 MB
    ReceiverDanke
    Box 1:
    EDISION Pingulux +
     
     
    Box 2:
    EDISION Optimuss2 +
     
     
    Box 3:
    DVB-T2/C-USB-Stick USB-Stick
     
     
    Box 4:
    VU+ Solo 4K
     
     

    OpenWebIf zeritfikat für https anmeldung

    k o m p l i m e n t openAtv 5.0 lief für enigma2-verhältnisse vom ersten tag bis zum 27.05.2015 an sehr stabil !

    OpenWebIf
    bei der anmeldung via https: verlangt mein Windows Rechner ein zerifikat.
    das daraufhin angebotene zeritfikat ist abgelaufen. somit ist auch eine anmeldung per https nicht möglich, siehe bild.
    was muss ich tun? habe ich was falsch gemacht??



    -2-fehler.jpg


    sollte der fehler bekannt sein einfach post löschen!

    falls der fehler im falschen Thema bitte veerschieben!


    danke für eure hilfe

    •   Alt Advertising

       

  2. #2
    Avatar von madie
    Registriert seit
    05.04.2013
    Beiträge
    481
    Thanks (gegeben)
    1409
    Thanks (bekommen)
    3257
    Total Downloaded
    295,50 MB
    Total Downloaded
    295,50 MB
    ReceiverDanke
    Box 1:
    AX HD51
     
     
    hast bei dir am rechner mal das datum geprüft?
    Du kannst niemals alle mit deinem Tun begeistern. Selbst wenn du übers Wasser laufen kannst, kommt einer daher und fragt, ob du zu blöd zum Schwimmen bist.[/CENTER]

  3. #3
    Mitglied
    Registriert seit
    25.07.2014
    Beiträge
    58
    Thanks (gegeben)
    55
    Thanks (bekommen)
    3
    Themenstarter
    Total Downloaded
    83,84 MB
    Total Downloaded
    83,84 MB
    ReceiverDanke
    Box 1:
    EDISION Pingulux +
     
     
    Box 2:
    EDISION Optimuss2 +
     
     
    Box 3:
    DVB-T2/C-USB-Stick USB-Stick
     
     
    Box 4:
    VU+ Solo 4K
     
     
    danke madie
    ist aktuell 07.06.2015 14:38


    danke für eure hife

  4. #4
    Avatar von SpaceRat
    Registriert seit
    13.08.2013
    Ort
    Midgard
    Beiträge
    2.863
    Thanks (gegeben)
    585
    Thanks (bekommen)
    1589
    Total Downloaded
    745,74 MB
    Total Downloaded
    745,74 MB
    ReceiverDanke
    Box 1:
    Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2
     
     
    Box 2:
    Gigablue Quad4k 2xDVB-S2 OpenATV 6.2
     
     
    Box 3:
    AX Quadbox 2400HD
     
     
    Box 4:
    diverse
     
     
    Box 5:
    DVBViewer
     
     
    Der Rechner verlangt kein Zertifikat, er zeigt Dir das der Box.

    Das Zertifikat der Box ist self-signed und somit sicherheitstechnisch wertlos (Will man https sinnvoll nutzen, kommt man um eigene Zertifikate nicht herum), aber zumindest sollte es vom Gültigkeitszeitraum her passen.
    Offenbar hatte Deine Box zum Zeitpunkt der automatischen Erzeugung des Zertifikats noch kein gültiges Datum/Uhrzeit bezogen.

    Lösch mal in /etc/enigma2 die Dateien cert.pem und key.pem und starte die Box neu.
    Receiver/TV:
    • Vu+ Ultimo 4k 4xDVB-S2 FBC / 2x-C / 5.5TB / OpenATV 6.4@LG 65" OLED
    • Gigablue Quad 4k 2xDVB-S2 / 2x-C / 1.8TB GB / OpenATV 6.4@Samsung 37" LED
    • diverse weitere
    • S2-Twin-Tuner PCIe@Samsung SyncMaster T240HD (PC)
    • TechniSat SkyStar HD 2 (2.PC)
    Pay-TV: Schwarzfunk, Redlight HD Mega, HD-, Sky
    Internet: Unitymedia 2play 400 + Telekom VDSL100 / Linksys WRT1900ACS / IPv4 (UM) + IPv6 (Hurricane Electric+UM+Telekom)

  5. #5
    Mitglied
    Registriert seit
    25.07.2014
    Beiträge
    58
    Thanks (gegeben)
    55
    Thanks (bekommen)
    3
    Themenstarter
    Total Downloaded
    83,84 MB
    Total Downloaded
    83,84 MB
    ReceiverDanke
    Box 1:
    EDISION Pingulux +
     
     
    Box 2:
    EDISION Optimuss2 +
     
     
    Box 3:
    DVB-T2/C-USB-Stick USB-Stick
     
     
    Box 4:
    VU+ Solo 4K
     
     
    danke spacerat,

    bin leider erst jetzt dazu gekommen,
    nach löschen der Dateien von /etc/enigma2 die cert.pem und key.pem
    bekam ich diese meldungen:

    -4-fehler.jpg

    -3-fehler.jpg


    (Will man https sinnvoll nutzen, kommt man um eigene Zertifikate nicht herum)
    was heißt dies konkret? was muß man da im einzelnen tun?
    gibts da eine schritt für schritt anleitung?


    danke für eure hilfe
    Geändert von Starters (09.06.2015 um 16:01 Uhr)

  6. #6
    Avatar von SpaceRat
    Registriert seit
    13.08.2013
    Ort
    Midgard
    Beiträge
    2.863
    Thanks (gegeben)
    585
    Thanks (bekommen)
    1589
    Total Downloaded
    745,74 MB
    Total Downloaded
    745,74 MB
    ReceiverDanke
    Box 1:
    Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2
     
     
    Box 2:
    Gigablue Quad4k 2xDVB-S2 OpenATV 6.2
     
     
    Box 3:
    AX Quadbox 2400HD
     
     
    Box 4:
    diverse
     
     
    Box 5:
    DVBViewer
     
     
    Ich würde Dir ja gerne helfen, aber das ist nicht ganz trivial und mir fehlt da irgendwo die Zeit für.

    Zuerst einmal solltest Du überlegen, wozu Du es überhaupt brauchst oder zu brauchen meinst.
    Für den "Hausgebrauch", also innerhalb des eigenen LANs oder bei Zugriff durch ein VPN, brauchst Du nicht wirklich https auf dem Web-Interface.
    Zum direkten Freigeben ins Internet ist das Web-Interface wiederum nicht wirklich gemacht, auch nicht bei Nutzung von https.

    Durch https wird der Traffic zwischen Client (Web-Browser) und Server (OWIF) zwar verschlüsselt, so daß man Benutzername und Kennwort nicht mehr einfach so im Internet-Cafe mit Wireshark abgreifen kann, aber Passwörter durchprobieren kann ein Angreifer auf einem offenen Webif auch wenn https genutzt wird.
    Aus dem Grund habe ich die Standardeinstellung für "https" im OWIF auch auf "aus" geändert, um nicht über das "s" in https eine Sicherheit zu suggerieren, die nicht da ist.


    Das Prinzip für die Zertifikatserstellung ist das selbe wie bei OpenVPN auch und wird z.B. hier erklärt:
    https://thomas-leister.de/internet/e...te-ausstellen/
    oder hier:
    Mini-Howto zur Zertifikat-Erstellung

    Ein Root-CA erstellt man einmalig, diese eigene Root-CA signiert dann alle Server- und Clientkeys, die man danach erstellt.
    Das Server-Zertifikat wird als /etc/enigma2/cert.pem und der Server-Key als /etc/enigma2/key.pem auf der Box abgelegt. Wenn Du zusätzlich auch noch das CA-Cert als /etc/enigma2/ca.pem auf der Box ablegst, kann das Owif auch Authentifizierung über Client-Zertifikate durchführen ...

    Das Schön ist nun, wenn man dem Zertifikat der Root-CA einmalig (je Rechner/Browser) vertraut, dann quengelt der Browser bei keinem weiteren Server mehr, der ebenfalls ein von dieser Root-CA signiertes Zertifikat nutzt.

    Beispiel:
    Ich habe eine Root-CA "SpaceCert" angelegt, diese hat jeweils einzelne Server-Zertifikate für meine
    - Vu+ Duo²
    - beide Vu+ Solo²
    - die AX Quadbox
    - usw.
    ausgestellt.

    Ich habe das Zertifikat von SpaceCert jeweils auf meinem Androiden, in Firefox und in Windows/Chrome als vertrauenswürdige Stamm-Zertifizierungsstelle zugefügt, dadurch sind automatisch auch die Server-Zertifikate meiner Boxen vertrauenswürdig (Da sie von eben dieser Stammzertifizierungsstelle signiert wurden und nicht nur von der Box selber).

    Wie gesagt, das bringt Dir aber erst einmal nur
    - keine Warnung im Browser bzw. sogar ein grünes oder graues Vorhängeschloß statt eines roten (Womit Du auf dem Client sicher sein kannst, daß es wirklich Dein OWIF ist auf das Du zugreifst und nicht das eines Man-In-The-Middle-Angreifers)
    und
    - verschlüsselten Traffic zwischen Client und OWIF

    Für eine Brute-Force-Attacke auf Dein Kennwort ist dem Angreifer das Zertifikat aber egal, der kann auch so auf das Webif zugreifen.

    Wirklich sicher würde Owif über https erst, wenn Du mit Deiner Root-CA tatsächlich auch Client-Zertifikate ausstellen läßt und Dich dann mit diesen am Server authentifizierst.
    Wenn nämlich die "Zertifikatsbasierte Anmeldung" im OWIF aktiv ist, kommt man allein mit Benutzername und Kennwort nicht mehr auf die Box.

    Die Frage ist, was es einem bringt, die wenigsten Apps für's Smartphone kommen damit klar (DreamDroid ginge glaube ich).
    Receiver/TV:
    • Vu+ Ultimo 4k 4xDVB-S2 FBC / 2x-C / 5.5TB / OpenATV 6.4@LG 65" OLED
    • Gigablue Quad 4k 2xDVB-S2 / 2x-C / 1.8TB GB / OpenATV 6.4@Samsung 37" LED
    • diverse weitere
    • S2-Twin-Tuner PCIe@Samsung SyncMaster T240HD (PC)
    • TechniSat SkyStar HD 2 (2.PC)
    Pay-TV: Schwarzfunk, Redlight HD Mega, HD-, Sky
    Internet: Unitymedia 2play 400 + Telekom VDSL100 / Linksys WRT1900ACS / IPv4 (UM) + IPv6 (Hurricane Electric+UM+Telekom)

  7. Thanks knzsys, sgs bedankten sich
  8. #7
    Avatar von Captain
    Registriert seit
    03.04.2013
    Beiträge
    14.861
    Thanks (gegeben)
    763
    Thanks (bekommen)
    21090
    Total Downloaded
    162,47 MB
    Total Downloaded
    162,47 MB
    ReceiverDanke
    sagt ja schon der Aussteller also die Ausgabestelle ist nicht bekannt und dein PC kann nicht Überprüfen ob das Zertifikat Gültig ist , das ist ein Normales verhalten bei selbst erstellen Zertifikaten die nicht von eine CA Kommen die bei die im Browser Registriert wurde

    Abhilfe importiere den Public Key bei dir in dein Cert Store als Trust Publischer und die Meldung ist weg


    openATV we are open Source

    Boykott GPL violator

  9. Thanks Starters bedankten sich
  10. #8
    Mitglied
    Registriert seit
    25.07.2014
    Beiträge
    58
    Thanks (gegeben)
    55
    Thanks (bekommen)
    3
    Themenstarter
    Total Downloaded
    83,84 MB
    Total Downloaded
    83,84 MB
    ReceiverDanke
    Box 1:
    EDISION Pingulux +
     
     
    Box 2:
    EDISION Optimuss2 +
     
     
    Box 3:
    DVB-T2/C-USB-Stick USB-Stick
     
     
    Box 4:
    VU+ Solo 4K
     
     
    danke spacerat,
    danke captain,
    ich werde mich also mit dem thema etwas vertrauter machen müssen.
    ich hatte gehofft, daß es da schon eine fertige lösung für enigma2 gibt, da openWebIf jan nicht erst seit gestern bei den usern in gebrauch ist.
    aber datensicherheit wird wohl eher noch vernachlässigt. guten gewissens kann man also nur von openHomeIf sprechen.


    danke für eure hilfe

  11. #9
    Anfänger
    Registriert seit
    20.05.2015
    Beiträge
    1
    Thanks (gegeben)
    2
    Thanks (bekommen)
    0
    Total Downloaded
    184,78 MB
    Total Downloaded
    184,78 MB
    ReceiverDanke
    Sehr schön erklärt!!!
    Daaanke!

    hätte ich diese erklärung vor 5 jahren gehabt, hätte ich mir das damals nicht mühsam erarbeiten müssen.
    Heute erstelle ich meine Certifikate alle selber (openvpn, SSL etc)

    Zitat Zitat von SpaceRat Beitrag anzeigen
    Ich würde Dir ja gerne helfen, aber das ist nicht ganz trivial und mir fehlt da irgendwo die Zeit für.

    Zuerst einmal solltest Du überlegen, wozu Du es überhaupt brauchst oder zu brauchen meinst.
    Für den "Hausgebrauch", also innerhalb des eigenen LANs oder bei Zugriff durch ein VPN, brauchst Du nicht wirklich https auf dem Web-Interface.
    Zum direkten Freigeben ins Internet ist das Web-Interface wiederum nicht wirklich gemacht, auch nicht bei Nutzung von https.

    Durch https wird der Traffic zwischen Client (Web-Browser) und Server (OWIF) zwar verschlüsselt, so daß man Benutzername und Kennwort nicht mehr einfach so im Internet-Cafe mit Wireshark abgreifen kann, aber Passwörter durchprobieren kann ein Angreifer auf einem offenen Webif auch wenn https genutzt wird.
    Aus dem Grund habe ich die Standardeinstellung für "https" im OWIF auch auf "aus" geändert, um nicht über das "s" in https eine Sicherheit zu suggerieren, die nicht da ist.


    Das Prinzip für die Zertifikatserstellung ist das selbe wie bei OpenVPN auch und wird z.B. hier erklärt:
    404 Page not found
    oder hier:
    Mini-Howto zur Zertifikat-Erstellung

    Ein Root-CA erstellt man einmalig, diese eigene Root-CA signiert dann alle Server- und Clientkeys, die man danach erstellt.
    Das Server-Zertifikat wird als /etc/enigma2/cert.pem und der Server-Key als /etc/enigma2/key.pem auf der Box abgelegt. Wenn Du zusätzlich auch noch das CA-Cert als /etc/enigma2/ca.pem auf der Box ablegst, kann das Owif auch Authentifizierung über Client-Zertifikate durchführen ...

    Das Schön ist nun, wenn man dem Zertifikat der Root-CA einmalig (je Rechner/Browser) vertraut, dann quengelt der Browser bei keinem weiteren Server mehr, der ebenfalls ein von dieser Root-CA signiertes Zertifikat nutzt.

    Beispiel:
    Ich habe eine Root-CA "SpaceCert" angelegt, diese hat jeweils einzelne Server-Zertifikate für meine
    - Vu+ Duo²
    - beide Vu+ Solo²
    - die AX Quadbox
    - usw.
    ausgestellt.

    Ich habe das Zertifikat von SpaceCert jeweils auf meinem Androiden, in Firefox und in Windows/Chrome als vertrauenswürdige Stamm-Zertifizierungsstelle zugefügt, dadurch sind automatisch auch die Server-Zertifikate meiner Boxen vertrauenswürdig (Da sie von eben dieser Stammzertifizierungsstelle signiert wurden und nicht nur von der Box selber).

    Wie gesagt, das bringt Dir aber erst einmal nur
    - keine Warnung im Browser bzw. sogar ein grünes oder graues Vorhängeschloß statt eines roten (Womit Du auf dem Client sicher sein kannst, daß es wirklich Dein OWIF ist auf das Du zugreifst und nicht das eines Man-In-The-Middle-Angreifers)
    und
    - verschlüsselten Traffic zwischen Client und OWIF

    Für eine Brute-Force-Attacke auf Dein Kennwort ist dem Angreifer das Zertifikat aber egal, der kann auch so auf das Webif zugreifen.

    Wirklich sicher würde Owif über https erst, wenn Du mit Deiner Root-CA tatsächlich auch Client-Zertifikate ausstellen läßt und Dich dann mit diesen am Server authentifizierst.
    Wenn nämlich die "Zertifikatsbasierte Anmeldung" im OWIF aktiv ist, kommt man allein mit Benutzername und Kennwort nicht mehr auf die Box.

    Die Frage ist, was es einem bringt, die wenigsten Apps für's Smartphone kommen damit klar (DreamDroid ginge glaube ich).


Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:42 Uhr.
Powered by vBulletin® Version 4.2.5 (Deutsch)
Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.
Resources saved on this page: MySQL 5,26%
Parts of this site powered by vBulletin Mods & Addons from DragonByte Technologies Ltd. (Details)
vBulletin Skin By: PurevB.com