OpenWebIf zeritfikat für https anmeldung

[Starters]

k o m p l i m e n t openAtv 5.0 lief für enigma2-verhältnisse vom ersten tag bis zum 27.05.2015 an sehr stabil !

OpenWebIf
bei der anmeldung via https: verlangt mein Windows Rechner ein zerifikat.
das daraufhin angebotene zeritfikat ist abgelaufen. somit ist auch eine anmeldung per https nicht möglich, siehe bild.
was muss ich tun? habe ich was falsch gemacht??

Der Dateianhang 2 fehler.jpg existiert nicht mehr.

sollte der fehler bekannt sein einfach post löschen!

falls der fehler im falschen Thema bitte veerschieben!


danke für eure hilfe

[madie]

hast bei dir am rechner mal das datum geprüft?

[Starters]

danke madie
ist aktuell 07.06.2015 14:38


danke für eure hife

[SpaceRat]

Der Rechner verlangt kein Zertifikat, er zeigt Dir das der Box.

Das Zertifikat der Box ist self-signed und somit sicherheitstechnisch wertlos (Will man https sinnvoll nutzen, kommt man um eigene Zertifikate nicht herum), aber zumindest sollte es vom Gültigkeitszeitraum her passen.
Offenbar hatte Deine Box zum Zeitpunkt der automatischen Erzeugung des Zertifikats noch kein gültiges Datum/Uhrzeit bezogen.

Lösch mal in /etc/enigma2 die Dateien cert.pem und key.pem und starte die Box neu.

[Starters]

danke spacerat,

bin leider erst jetzt dazu gekommen,
nach löschen der Dateien von /etc/enigma2 die cert.pem und key.pem
bekam ich diese meldungen:

(Will man https sinnvoll nutzen, kommt man um eigene Zertifikate nicht herum)
was heißt dies konkret? was muß man da im einzelnen tun?
gibts da eine schritt für schritt anleitung?


danke für eure hilfe

[SpaceRat]

Ich würde Dir ja gerne helfen, aber das ist nicht ganz trivial und mir fehlt da irgendwo die Zeit für.

Zuerst einmal solltest Du überlegen, wozu Du es überhaupt brauchst oder zu brauchen meinst.
Für den "Hausgebrauch", also innerhalb des eigenen LANs oder bei Zugriff durch ein VPN, brauchst Du nicht wirklich https auf dem Web-Interface.
Zum direkten Freigeben ins Internet ist das Web-Interface wiederum nicht wirklich gemacht, auch nicht bei Nutzung von https.

Durch https wird der Traffic zwischen Client (Web-Browser) und Server (OWIF) zwar verschlüsselt, so daß man Benutzername und Kennwort nicht mehr einfach so im Internet-Cafe mit Wireshark abgreifen kann, aber Passwörter durchprobieren kann ein Angreifer auf einem offenen Webif auch wenn https genutzt wird.
Aus dem Grund habe ich die Standardeinstellung für "https" im OWIF auch auf "aus" geändert, um nicht über das "s" in https eine Sicherheit zu suggerieren, die nicht da ist.


Das Prinzip für die Zertifikatserstellung ist das selbe wie bei OpenVPN auch und wird z.B. hier erklärt:
https://thomas-leister.de/internet/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/
oder hier:
Mini-Howto zur Zertifikat-Erstellung

Ein Root-CA erstellt man einmalig, diese eigene Root-CA signiert dann alle Server- und Clientkeys, die man danach erstellt.
Das Server-Zertifikat wird als /etc/enigma2/cert.pem und der Server-Key als /etc/enigma2/key.pem auf der Box abgelegt. Wenn Du zusätzlich auch noch das CA-Cert als /etc/enigma2/ca.pem auf der Box ablegst, kann das Owif auch Authentifizierung über Client-Zertifikate durchführen ...

Das Schön ist nun, wenn man dem Zertifikat der Root-CA einmalig (je Rechner/Browser) vertraut, dann quengelt der Browser bei keinem weiteren Server mehr, der ebenfalls ein von dieser Root-CA signiertes Zertifikat nutzt.

Beispiel:
Ich habe eine Root-CA "SpaceCert" angelegt, diese hat jeweils einzelne Server-Zertifikate für meine
- Vu+ Duo²
- beide Vu+ Solo²
- die AX Quadbox
- usw.
ausgestellt.

Ich habe das Zertifikat von SpaceCert jeweils auf meinem Androiden, in Firefox und in Windows/Chrome als vertrauenswürdige Stamm-Zertifizierungsstelle zugefügt, dadurch sind automatisch auch die Server-Zertifikate meiner Boxen vertrauenswürdig (Da sie von eben dieser Stammzertifizierungsstelle signiert wurden und nicht nur von der Box selber).

Wie gesagt, das bringt Dir aber erst einmal nur
- keine Warnung im Browser bzw. sogar ein grünes oder graues Vorhängeschloß statt eines roten (Womit Du auf dem Client sicher sein kannst, daß es wirklich Dein OWIF ist auf das Du zugreifst und nicht das eines Man-In-The-Middle-Angreifers)
und
- verschlüsselten Traffic zwischen Client und OWIF

Für eine Brute-Force-Attacke auf Dein Kennwort ist dem Angreifer das Zertifikat aber egal, der kann auch so auf das Webif zugreifen.

Wirklich sicher würde Owif über https erst, wenn Du mit Deiner Root-CA tatsächlich auch Client-Zertifikate ausstellen läßt und Dich dann mit diesen am Server authentifizierst.
Wenn nämlich die "Zertifikatsbasierte Anmeldung" im OWIF aktiv ist, kommt man allein mit Benutzername und Kennwort nicht mehr auf die Box.

Die Frage ist, was es einem bringt, die wenigsten Apps für's Smartphone kommen damit klar (DreamDroid ginge glaube ich).

[Captain]

sagt ja schon der Aussteller also die Ausgabestelle ist nicht bekannt und dein PC kann nicht Überprüfen ob das Zertifikat Gültig ist , das ist ein Normales verhalten bei selbst erstellen Zertifikaten die nicht von eine CA Kommen die bei die im Browser Registriert wurde

Abhilfe importiere den Public Key bei dir in dein Cert Store als Trust Publischer und die Meldung ist weg

[Starters]

danke spacerat,
danke captain,
ich werde mich also mit dem thema etwas vertrauter machen müssen.
ich hatte gehofft, daß es da schon eine fertige lösung für enigma2 gibt, da openWebIf jan nicht erst seit gestern bei den usern in gebrauch ist.
aber datensicherheit wird wohl eher noch vernachlässigt. guten gewissens kann man also nur von openHomeIf sprechen.


danke für eure hilfe

[knzsys]

Sehr schön erklärt!!!
Daaanke!

hätte ich diese erklärung vor 5 jahren gehabt, hätte ich mir das damals nicht mühsam erarbeiten müssen.
Heute erstelle ich meine Certifikate alle selber (openvpn, SSL etc)

Ich würde Dir ja gerne helfen, aber das ist nicht ganz trivial und mir fehlt da irgendwo die Zeit für.

Zuerst einmal solltest Du überlegen, wozu Du es überhaupt brauchst oder zu brauchen meinst.
Für den "Hausgebrauch", also innerhalb des eigenen LANs oder bei Zugriff durch ein VPN, brauchst Du nicht wirklich https auf dem Web-Interface.
Zum direkten Freigeben ins Internet ist das Web-Interface wiederum nicht wirklich gemacht, auch nicht bei Nutzung von https.

Durch https wird der Traffic zwischen Client (Web-Browser) und Server (OWIF) zwar verschlüsselt, so daß man Benutzername und Kennwort nicht mehr einfach so im Internet-Cafe mit Wireshark abgreifen kann, aber Passwörter durchprobieren kann ein Angreifer auf einem offenen Webif auch wenn https genutzt wird.
Aus dem Grund habe ich die Standardeinstellung für "https" im OWIF auch auf "aus" geändert, um nicht über das "s" in https eine Sicherheit zu suggerieren, die nicht da ist.


Das Prinzip für die Zertifikatserstellung ist das selbe wie bei OpenVPN auch und wird z.B. hier erklärt:
404 Page not found
oder hier:
Mini-Howto zur Zertifikat-Erstellung

Ein Root-CA erstellt man einmalig, diese eigene Root-CA signiert dann alle Server- und Clientkeys, die man danach erstellt.
Das Server-Zertifikat wird als /etc/enigma2/cert.pem und der Server-Key als /etc/enigma2/key.pem auf der Box abgelegt. Wenn Du zusätzlich auch noch das CA-Cert als /etc/enigma2/ca.pem auf der Box ablegst, kann das Owif auch Authentifizierung über Client-Zertifikate durchführen ...

Das Schön ist nun, wenn man dem Zertifikat der Root-CA einmalig (je Rechner/Browser) vertraut, dann quengelt der Browser bei keinem weiteren Server mehr, der ebenfalls ein von dieser Root-CA signiertes Zertifikat nutzt.

Beispiel:
Ich habe eine Root-CA "SpaceCert" angelegt, diese hat jeweils einzelne Server-Zertifikate für meine
- Vu+ Duo²
- beide Vu+ Solo²
- die AX Quadbox
- usw.
ausgestellt.

Ich habe das Zertifikat von SpaceCert jeweils auf meinem Androiden, in Firefox und in Windows/Chrome als vertrauenswürdige Stamm-Zertifizierungsstelle zugefügt, dadurch sind automatisch auch die Server-Zertifikate meiner Boxen vertrauenswürdig (Da sie von eben dieser Stammzertifizierungsstelle signiert wurden und nicht nur von der Box selber).

Wie gesagt, das bringt Dir aber erst einmal nur
- keine Warnung im Browser bzw. sogar ein grünes oder graues Vorhängeschloß statt eines roten (Womit Du auf dem Client sicher sein kannst, daß es wirklich Dein OWIF ist auf das Du zugreifst und nicht das eines Man-In-The-Middle-Angreifers)
und
- verschlüsselten Traffic zwischen Client und OWIF

Für eine Brute-Force-Attacke auf Dein Kennwort ist dem Angreifer das Zertifikat aber egal, der kann auch so auf das Webif zugreifen.

Wirklich sicher würde Owif über https erst, wenn Du mit Deiner Root-CA tatsächlich auch Client-Zertifikate ausstellen läßt und Dich dann mit diesen am Server authentifizierst.
Wenn nämlich die "Zertifikatsbasierte Anmeldung" im OWIF aktiv ist, kommt man allein mit Benutzername und Kennwort nicht mehr auf die Box.

Die Frage ist, was es einem bringt, die wenigsten Apps für's Smartphone kommen damit klar (DreamDroid ginge glaube ich).

[Tomiliy]

Ein Root-CA erstellt man einmalig, diese eigene Root-CA signiert dann alle Server- und Clientkeys, die man danach erstellt.

Halli Hallo in die Runde, Hallo SpaceRat

ich habe ebenfalls eine CA, von XCA.
Und ich habe auch alle meine Geräte mit einem Zertifikat, meiner CA ausgestellt.
Aber bei der openATV bekomme ich es nicht hi.

Wie oben beschrieben habe ich den privaten Schlüssel als key.pem und ein Zertifikat (Pem Kette) als cert.pem in /etc/enigma abgelegt und er läd es auch und zeigt mir im Zertifikat auch meine Kette. Allerdings wird es immer noch nicht als Sicher angezeigt.


Oder als was muss ich das Zertifikat exportieren?
die ersten beiden habe ich durch und auch PEM mit Schlüssel. Es ändert sich nix.
Wie gesagt, alle meine anderen Geräte funktionieren super per https.

[katzedef]

Allerdings wird es immer noch nicht als Sicher angezeigt.

Welche Fehlermeldungen werden denn genau angezeigt in Firefox und in Chrome/Chromium?

Ich habe mir Zertifikate mit openssl auf Ubuntu erstellt. Im Ergebnis geht es mit vier Zeilen:

Schritt 1 und 2 braucht man nur einmalig machen

1. Privaten Schlüssel der CA erstellen:
openssl genpkey -algorithm RSA -out ca.key -pkeyopt rsa_keygen_bits:4096

2. Selbsigniertes Zertifikat der CA erstellen:
openssl req -x509 -new -nodes -key ca.key -sha256 -days 9000 -out ca.crt -subj "/CN=AweSomeCert"



Nun hat man seine eigene CA mit privatem Schlüssel und Zertifikat.
-------------------------------------------------------------------

Danach:

3. Privaten Schlüssel für Receiver erstellen

openssl req -new -nodes -newkey rsa:2048 -keyout cooldevice.key -out cooldevice.csr -batch -subj "/CN=dyndnsadresse" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:dyndnsadresse"))



4. Von der CA signieren lassen:

openssl x509 -req -in cooldevice.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cooldevice.crt -days 3650 -sha256 -extfile <(printf "subjectAltName=DNS:dyndnsadresse")

Zum Rüberkopieren würde ich auf der Box

Code: Alles auswählen

init 2

eingeben und dann die Schlüssel und Zertifikatsdatei unter /etc/enigma2 leeren und die neuen Inhalte reinkopieren.
Anschließen würde ich die Box mit

Code: Alles auswählen

reboot

neustarten.

Falls die Box auf dem https-Port nicht reagiert unter Erweiterungen prüfen, dass beim OpenWebIf https an ist.

Anschließend muss man noch die ca.crt in Firefox als vertrauenswürdiges Wurzelzertifikat importieren.

Ganz wichtig ist aber ein sehr langes und komplexes Passwort zu setzen, wenn man den Port unbedingt im Netz freigiben möchte. Die Lösung ist denke ich vertretbar, wenn man die Software aktuell hält. Vorteil bei https ist, dass man vor man-in-the-middle Angriffen sicher ist und das Passwort nicht im Klartext übertragen wird.