Reinarden
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
Zwei Fragen bitte zum Thema: 1. Bei einer verschlüsselten https-Verbindung vom Browser zur Fritzbox kommt dieses in vorigen Beiträgen erwähnte Firefox-Fenster, daß dem Eigenzertifikat der Fritzbox nicht vertraut werden könne und man daher eine Sicherheits-Ausnahme hinzufügen muß, jedesmal, wenn die Fritzbox eine neue IP-Adresse vom Internet-Anbieter erhalten hat (dynamische IP-Vergabe). Da hilft das Firefox-Häkchen „Ausnahme dauerhaft hinzufügen“ nicht. Kann man diese lästige Abfrage trotz dynamischer IP-Vergabe loswerden? 2. Naheliegend wäre also wegen 1), auf eine verschlüsselte https-Verbindung im lokalen Fritzbox-Hausnetz zu verzichten, wo http sowieso genügt. Aber dann bringt der Firefox seit v51 oder v52 ja in den Zugangsdaten-Feldern der Fritzbox-Anmeldeseite die von anderen Teilnehmern beschriebene Warnung bezüglich ungesicherter Paßwort-Übertragung. Könnte man dem Firefox irgendwie sagen, daß die „fritz.box“ zum LAN gehört und daher diese lästige Warnung unnötig ist? Ein Eintrag in den Netzwerk-Einstellungen des Firefox unter „Kein Proxy für…“ bringt leider nichts.
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
Reinarden schrieb: Kann man diese lästige Abfrage trotz dynamischer IP-Vergabe loswerden?
Ja, in dem man entweder ein Zertifikat installiert, was von einer CA im Browser unterzeichnet wurde oder - die vermutlich bessere Wahl - aufhört, von extern auf die Fritzbox per HTTPS zuzugreifen. Den es erschließt sich mir kein vernünftiger Grund, warum ich meinen Router mit seiner WebUI ins öffentliche Netz stellen sollte.
|
Reinarden
(Themenstarter)
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
Into_the_Pit schrieb:
[…] aufhört, von extern auf die Fritzbox per HTTPS zuzugreifen.
Ist (hier bei uns) deaktiviert natürlich. Ich meinte lokale Zugriffe auf die Fritzbox (also Fritzbox-Hausnetz). Die erfolgten bei uns, und wahrscheinlich den meisten anderen, immer unverschlüsselt per http://fritz.box Dann kommt das Anmeldefenster der Fritzbox, wo man Benutzername und Paßwort eingeben muß (oder je nach Einstellung nur ein Paßwort). Weil aber der Feuerfuchs seit v51 oder v52 dann bei solchen http-Zugriffen und gespeicherten Paßworten nicht mehr das Paßwort automatisch ausfüllt, so daß ein Klick genügen würde, sondern eine lästige Warnmeldung im Paßwortfeld ausgibt, wechselten manche, wie ich, auf den verschlüsselten Zugriff: https://fritz.box Und dann kommt dieses lästige Ausnahme-Hinzufügen-Fenster (wenn die Fritzbox eine neue IP erhalten hatte). 😐 Wir suchen also die „gute alte“ Methode, mit nur einem Klick in die Fritzbox-Oberfläche zu kommen, wo der Firefox das Paßwort-Feld vorausfüllte.
|
Planspiel
Anmeldungsdatum: 2. Mai 2016
Beiträge: 673
Wohnort: Spielplan
|
Into_the_Pit schrieb: Ja, in dem man entweder ein Zertifikat installiert, was von einer CA im Browser unterzeichnet wurde
Ein selbsterstelltes, z.B. mit openSSL, und selbstsigniertes Zertifikat sollte eigentlich auch gehen, muss man halt einmal aus Ausnahme "dauerhaft" im Browser speichern. Oder liege ich da völligig falsch?
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
Reinarden schrieb: Dann kommt das Anmeldefenster der Fritzbox, wo man Benutzername und Paßwort eingeben muß (oder je nach Einstellung nur ein Paßwort). Weil aber der Feuerfuchs seit v51 oder v52 dann bei solchen http-Zugriffen und gespeicherten Paßworten nicht mehr das Paßwort automatisch ausfüllt, so daß ein Klick genügen würde, sondern eine lästige Warnmeldung im Paßwortfeld ausgibt, wechselten manche, wie ich, auf den verschlüsselten Zugriff: https://fritz.box
Also ein Luxusproblem rein aus Bequemlichkeit.
Und dann kommt dieses lästige Ausnahme-Hinzufügen-Fenster (wenn die Fritzbox eine neue IP erhalten hatte). 😐
Wie kann die dynamische IP, die von Deinem ISP auf der WAN-Seite vergeben wird, die IP auf der LAN-Seite beeinflussen? Abgesehen davon nutzt man eben https://192.168.178.1 und akzeptiert einmal die Ausnahme. Damit sollte das Thema dann auch erledigt sein.
|
Planspiel
Anmeldungsdatum: 2. Mai 2016
Beiträge: 673
Wohnort: Spielplan
|
Into_the_Pit schrieb: Wie kann die dynamische IP, die von Deinem ISP auf der WAN-Seite vergeben wird, die IP auf der LAN-Seite beeinflussen? Abgesehen davon nutzt man eben https://192.168.178.1 und akzeptiert einmal die Ausnahme. Damit sollte das Thema dann auch erledigt sein.
Wenn die WAN-IP sich ändert, generiert die FB automatisch ein neues Zertifikat, dass auch für den Zugriff per https im LAN benötigt wird.
|
Reinarden
(Themenstarter)
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
Planspiel schrieb: Wenn die WAN-IP sich ändert, generiert die FB automatisch ein neues Zertifikat, dass auch für den Zugriff per https im LAN benötigt wird.
Genau, und das führt dann zum beschriebenen „Komfort“-Problem bei lokalen https-Zugriffen. Into_the_Pit schrieb: Abgesehen davon nutzt man eben https://192.168.178.1 und akzeptiert einmal die Ausnahme.
Egal ob per https://fritz.box oder https://192.168.x.1, kommt das Ausnahme-Akzeptieren-Fenster des Firefox bei jeder neuen IP der Fritzbox, wie Planspiel darlegt. Dann bliebe wohl nur das von Into_the_Pit vorgeschlagene eigene Zertifikat von einem CA-Dingens? Planspiel schrieb: Into_the_Pit schrieb: Ja, in dem man entweder ein Zertifikat installiert, was von einer CA im Browser unterzeichnet wurde
Ein selbsterstelltes, z.B. mit openSSL, und selbstsigniertes Zertifikat sollte eigentlich auch gehen, muss man halt einmal aus Ausnahme "dauerhaft" im Browser speichern. Oder liege ich da völligig falsch?
Das würde mich auch sehr interessieren! Wo müßte man so ein per openssl erstelltes Zertifikat dann in die Fritzbox laden?
|
Planspiel
Anmeldungsdatum: 2. Mai 2016
Beiträge: 673
Wohnort: Spielplan
|
Reinarden schrieb: Das würde mich auch sehr interessieren! Wo müßte man so ein per openssl erstelltes Zertifikat dann in die Fritzbox laden?
AVM ist Dein Freund 😉 : https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1525_Eigenes-Zertifikat-in-FRITZ-Box-importieren/
|
Reinarden
(Themenstarter)
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
Planspiel schrieb: AVM ist Dein Freund 😉
Danke, die Frage wäre damit gelöst, aber ich hätte wohl zuerst fragen sollen: Und das CA-Zertifikat erzeugen wir wie im CA (Abschnitt „Zertifikate-erstellen“)-Wiki beschrieben? Weil das ist für Zertifikats-Laien nicht trivial… 😐 Das Leiden des nicht mehr so jungen Werthers: Und ich wollte doch nur per Komfort-Funktion auf die Fritzbox-Oberfläche zugreifen…
|
Reinarden
(Themenstarter)
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
In dem Forumsthema Keine sichere Verbindung zur Fritz.box, wozu dieses Thema hier ursprünglich gehörte, hat der Trollsportverein freundlicherweise die Frage beantwortet, wie man so ein CA-Zertifikat erstellt und dem Fritzchen zuführt. Dies als Anmerkung für Leser, welche auf dieses Thema hier stoßen und auch wissen möchten, wie das mit dem CA-Zertifikat geht.
|
Cordess
Anmeldungsdatum: 14. Mai 2006
Beiträge: 466
|
|