HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Artikel veröffentlicht am , Hanno Böck
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

Das Web bewegt sich in Richtung HTTPS. Browserhersteller warnen inzwischen immer häufiger, wenn Daten über unsichere HTTP-Verbindungen übertragen werden. Ein Problem, das dabei zunehmend dringender wird, sind Embedded-Geräte mit Webinterfaces.

Stellenmarkt
  1. IT-Administrator (m/w/d) 2nd Level
    Tönnies Business Solutions GmbH, Rheda-Wiedenbrück
  2. Systemingenieur (m/w/d) Vorentwicklung Funktionale Sicherheit (FuSi)
    DRÄXLMAIER Group, Garching
Detailsuche

Die Hersteller können entweder unsicheres HTTP anbieten - oder HTTPS mittels selbstsignierter Zertifikate. Letzteres führt zu unschönen Fehlermeldungen. In vielen Fällen haben Hersteller in der Vergangenheit sogar identische Zertifikate mit identischen privaten Schlüsseln auf allen Geräten ausgeliefert, was natürlich besonders unsicher ist.

AVM, der Hersteller der vor allem in Deutschland beliebten Fritzbox-Router, geht jetzt einen neuen Weg: Für das Webinterface, das auch von außen erreichbar ist, kann man jetzt automatisch ein Zertifikat mittels des ACME-Protokolls von Let's Encrypt erstellen lassen. Dies gilt dann für eine Subdomain des AVM-eigenen Dienstes myfritz.net, der Hostname zeigt dynamisch immer auf die aktuelle IP des Routers.

Zur Zeit steht die Funktion in der Beta-Firmware 6.98 der Fritzbox 7490 zur Verfügung. Damit kann man das Webinterface von außen erreichen - ohne Fehlermeldung, abgesichert mit einem korrekten TLS-Zertifikat.

Hostnamen sind öffentlich

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Doch die neue Funktion führt zu etwas, das manche Anwender überraschen dürfte: Alle Zertifikate von Let's Encrypt werden automatisch in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen. Damit kann man sich eine Liste der verwendeten Hostnamen ausgeben lassen, etwa über die Zertifikatssuchmaschine crt.sh. Da die Liste der Zertifikate rasant anwächst, dauert die Suche ein wenig. Der crt.sh-Service bietet auch eine PostgreSQL-API an, über die man die Hostnamen aus der Datenbank abfragen kann.

Für Angreifer bietet das eine einfache Möglichkeit, die Hostnamen von Tausenden Fritzboxen schnell herauszufinden. Wenn nun beispielsweise eine Sicherheitslücke im Webinterface oder in der SIP-Funktion bekannt wird, könnte ein Angreifer sehr schnell sehr viele Geräte übernehmen.

Hilft ein zufälliger Port wirklich?

"Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine 'Verstecken' bzw. Versuchen, nicht gefunden zu werden", erklärte Doris Haar von AVM auf unsere Anfrage. "Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden."

Dass generell das Verstecken von Hosts keine gute Strategie ist, um Sicherheit zu gewährleisten, ist sicher richtig. Die zufällig vergebenen HTTPS-Ports dürften allerdings wenig helfen. Sie führen allenfalls dazu, dass ein Angreifer einige Minuten länger benötigt, um entsprechende Portscans durchzuführen.

Neben dem HTTPS-Webinterface ist offenbar auf vielen der Geräte auch der SIP-Port geöffnet. Eine Sicherheitslücke hier könnte also ebenfalls ausgenutzt werden.

Viele Anwender verwenden ihre Fritzbox anscheinend auch, um den HTTPS-Port 443 direkt an dahinter stehende Server weiterzuleiten. So fanden wir nicht wenige Owncloud-Installationen, die so erreichbar sind.

Wie sicher sind Fritzbox-Geräte?

Trotz dieser Nebeneffekte kann man durchaus der Ansicht sein, dass die automatische Zertifikatserstellung sinnvoll ist. Allerdings wäre es vermutlich eine gute Idee, wenn AVM seine Kunden darauf hinweist, dass dies dazu führt, dass ihre Hostnamen künftig öffentlich bekannt sind.

Die entscheidende Frage dürfte allerdings sein: Wie gut sind die Fritzboxen gegen Angriffe aus dem Netz geschützt? Man kann gewisse Zweifel daran haben. Generell ist die Sicherheit von Embedded-Geräten wie Routern oft nicht gut, AVM betreibt bisher nicht einmal ein Bug-Bounty-Programm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mikromobilität
Im Rhein liegen Hunderte E-Scooter

Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

Mikromobilität: Im Rhein liegen Hunderte E-Scooter
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Betriebsrat: Daimler plant neuen Tarifvertrag und Bonus für Entwickler
    Betriebsrat
    Daimler plant neuen Tarifvertrag und Bonus für Entwickler

    Mit Extrazahlungen und flexiblen Arbeitszeiten will Daimler gute Elektroingenieure und Software-Experten gewinnen und halten.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

U.S.tooth 04. Mär 2020

Das schlimmste an dem Gerümpel ist ja dass er ne root SSH Sitzung auf die Kiste...

Herbert_1965 01. Apr 2018

Mit in Kraft treten der EU Datenschutzgrundversorgung im Mai 2018, sollten Firmen wie AVM...

GodsBoss 19. Dez 2017

Der Vorposter sprach von HTTP-Servern generell, nicht einer speziellen Implementierung...

ThomasSV 19. Dez 2017

Selbst wenn dem so wäre (was ich gar nicht für so zwingend halte: das Wissens über solche...

Tuxgamer12 18. Dez 2017

Musst eben manuell deine selbst signierten Zertifikate zu den jeweiligen Browsern...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /