Zugriff auf Webbox auch ohne gültiges Zertifikat trotz TLS!

    Hallo Community,
    ich habe aktuell die Webbox für iphone konfiguriert und mit einem selbstsignierten Zertifikat versehen.
    Bei meinen Tests ist mir aufgefallen, dass ich trotz https auch ohne "gültiges" Zertifikat auf das WebAccess zugreifen kann?!?

    Wozu erstelle ich denn ein Zertifikat, wenn ich es gar nicht brauche? :huh:
    Bisher konnte mir auch das InterCom keine brauchbare antwort geben.

    Einrichtungstechnisch habe ich mich strickt an die FAQ bzw. Anleitung zur Konfig. der Webbox mit TLS gehalten.
    Alles ist sauber und ohne Fehler verlaufen und im Monitoring zeigt er auf dass SSL aktiv sei.

    ABER!, ich komme ohne gültiges Zertifikat drauf.
    Sollte der Zugriff nicht fehlschlagen, wenn ich kein gültiges Zertifikat habe?
    Gibts vielleicht ne bessere Anleitung zu diesem Thema?

    ...ähm, gleich vorne weg, bitte bitte bitte... ich möchte mich nicht darum streiten, ob die Firma denn soooo wichtig ist, oder wie hoch die Wahrscheinlichkeit einer DDoS-Attake auf eine Dynamische-IP ist...
    Vielen lieben Dank vorne weg, für alle Unterstützungen.

    Gruß Andy

    Hallo,

    das einrichten eines zertifikates heisst nicht gleich das der normale http zugriff nicht mehr funktioniert.
    mache doch einfach den port 80 an deiner firewall zu, dann kommst du auch nicht mehr per http auf deine webbox.
    lg
    o.b.

    Hallo dertampon (aka o.b.),
    port 80 ist an der Firewall blockiert.
    Ich komme ausschließlich per HTTPS drauf, aber eben leider auch wenn ich das Zertifikat nicht importiere...

    Hallo,

    also soo genau kenn ich mich mit den zertifikaten auch net aus aber bei mir ist es auch so das ich drauf komme er mir einen zertifikatsfehler anzeigt aber dennoch scheint es eine verschlüsselte verbindung zu sein...
    könnte mir vorstellen das wenn man ein ganz hochoffizielles zertifikat irgendwo erwirbt das dann das einpfelegen in den browser einfach entfällt und es ohne fehler akzeptiert wird.
    das liegt aber glaub ich weniger an der webbox.... ich denk eher das es an dem selbsterstellten zertifikat liegt.
    lg
    o.b. (aka dertampon)

    Hi o.b.,
    nochmals vielen dank für deine Zeit, das für mich nachzuprüfen, um das auch selbst auszuprobieren.
    Ganz großes Lob und ickes DANKE SCHÖN dafür ;)

    Leider muss ich nochmals festhalten, dass damit lediglich der Kanal "abhörsicher" wird, trotzdem...: Ich habe zwar die SSL-Verbindung in der Firewall geöffnet, aber ohne erzwungene Verschlüsselung kommt soweit ein Portscan läuft und jemand dann "auf gut Glück" austestet, kann Hintz und Kunz einfach bei dem Kunden ins Netz spazieren...
    Klar gibt es zwei drei hürden zu meistern (Postfachnamen, Kennwort, RemoteAccesss ist ja auch nicht auf allen Usern), aber ein offenes Tor ist leider einfach immer noch ein offenes Tor....

    Wenn ich von Verisign oder einem sonstigem Zertifikats anbieter eines erwerben und bereit stellen würde, würde die Webbox trotzdem den Authentifizierungsweg vorgeben.
    Ein sebstsigniertes Zertifikat muss eigentlich ebenfalls konsequent vom Server verlangt werden.
    Bei Exchange-OWA oder einfach IIS (<-- der böse Gegenpart :D ) ist das ja auch so.
    Hier wird exklusiv nach einem Zertifikat verlangt (...wenn man es richtig macht :D )

    Gibts denn auch welche von Tobit hier, die das evtl. gerade mitverfolgen?

    Freundliche Grüße
    Andy

    Hallo community,

    ich bin nebenbei ja noch im InterCom in Anfrage mit Tobit direkt, zu diesem Fall.
    Hier wurde mir nun mitgeteilt, dass dieses Verhalten "scheinbar" normal sei. (???)

    Lt. Tobit besteht die Sicherheit nur in Form der Abhörsicherheit in der TLS-Verbindung.
    Weiterhin ist der Service eben nur per https erreichbar und man könne ja die TCP-Ports auch umbiegen.

    Für mich ist diese Form der Sicherheit jedoch nur ein Ansatz zur Sicherheit.
    Ich für meinen Teil werde dem Kunden definitiv die Einwahl per VPN empfehlen, so lange Tobit hier nicht IIS-Gleich
    eine Verbesserung hinsichtlich einer vernünftigen Zertifikatsprüfung/-zulassung zu realsieren, um das Kundennetzwerk sicher zu halten.

    Danke nochmals an o.b., der sich versucht hat meiner anzunehmen.
    Hier kann aber leider niemand weiterhelfen, da der Hersteller zu diesem Thema nachbessern sollte.

    Greez Andy

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden