Haben wir uns noch letzte Woche darüber gefreut, dass die neueste Labor Firmware von FRITZ!OS für die FRITZ!Box 7490 Let’s Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net unterstützt, hagelt es kurz darauf harsche Kritik, weil dadurch die Hostnamen in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen werden und so z. B. über eine Zertifikatssuchmaschine wie crt.sh ausgelesen werden können.
Doris Haar von AVM gab auf nachfrage von Golem dazu folgendes Statement ab:
“Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine ‘Verstecken’ bzw. Versuchen, nicht gefunden zu werden […] Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden.”
In Zweifel gezogen werden darf allerdings, ob alleine das “verstecken” des Ports genügend Sicherheit bringt.
Auf Golem findet sich dazu ein interessanter Artikel, der auch dort im Forum diskutiert wird.
WIE hat AVM mittlerweile nachgebessert?
WER trägt denn die Hostnamen in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems ein?
AVM oder Letsencrypt.org?
Inwiefern hat AVM nachgebessert?
Die Fritzboxen mit letsencrypt-Zertifikat erscheinen nach wie vor in der öffentlichen Liste, bspw. von crt.sh
Was bitte soll der Artikel sagen? Er hat leider die Qualität einer Pressemitteilung: Keine Recherche.
Richtig ist, dass “verstecken” keinerlei Sicherheit bietet. Dafür gibt es zu viele Scanner (die man auch in den Logs der FritzBox finden kann und deren Ergebnistabellen teilweise über Suchmaschinen öffentlich einsehbar sind), die mal eben ein paar IP-Adressen abklappern, um offene Systeme zu finden.
Falsch ist allerdings, dass die Fritz!Box zufällige Ports für HTTPS benutzt. Das würde ja gar nicht funktionieren. Allerdings kann (und sollte) jeder Benutzer den eigenen Port von 443 auf eine beliebige andere hohe Adresse umstellen: Das ist dann zwar nicht sicher, aber nicht gefunden zu werden hilft ein wenig gegen die ganz dummen Bots – und ist doch der Haupt-Ansatzpunkt jener, die gegen das Listen von Zertifikaten sind.
Übrigens: Wer nicht gelistet sein möchte, kann in die Fritz!Box auch ein eigenes Zertifikat importieren, das kennt dann niemand. Aber hey, das wäre unbequem und teuer.
Hallo Tom,
das Ganze war eine Pressemitteilung, wir haben -wie zu lesen- Golem zitiert und es sollte unsere Kunden nur über potentielle Gefahrenquellen informieren, die eine neue Funktion in der FRITZ!Box aufgetan hat. Der Beitrag ist aber aus 2017 und AVM hat mittlerweile nachgebessert.
Trotzdem vielen Dank für dein Feedback.
VG, Frixi