• IT-Karriere:
  • Services:

HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Artikel veröffentlicht am , Hanno Böck
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

Das Web bewegt sich in Richtung HTTPS. Browserhersteller warnen inzwischen immer häufiger, wenn Daten über unsichere HTTP-Verbindungen übertragen werden. Ein Problem, das dabei zunehmend dringender wird, sind Embedded-Geräte mit Webinterfaces.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
  2. HDP Gesellschaft für ganzheitliche Datenverarbeitung mbH, Alzey

Die Hersteller können entweder unsicheres HTTP anbieten - oder HTTPS mittels selbstsignierter Zertifikate. Letzteres führt zu unschönen Fehlermeldungen. In vielen Fällen haben Hersteller in der Vergangenheit sogar identische Zertifikate mit identischen privaten Schlüsseln auf allen Geräten ausgeliefert, was natürlich besonders unsicher ist.

AVM, der Hersteller der vor allem in Deutschland beliebten Fritzbox-Router, geht jetzt einen neuen Weg: Für das Webinterface, das auch von außen erreichbar ist, kann man jetzt automatisch ein Zertifikat mittels des ACME-Protokolls von Let's Encrypt erstellen lassen. Dies gilt dann für eine Subdomain des AVM-eigenen Dienstes myfritz.net, der Hostname zeigt dynamisch immer auf die aktuelle IP des Routers.

Zur Zeit steht die Funktion in der Beta-Firmware 6.98 der Fritzbox 7490 zur Verfügung. Damit kann man das Webinterface von außen erreichen - ohne Fehlermeldung, abgesichert mit einem korrekten TLS-Zertifikat.

Hostnamen sind öffentlich

Doch die neue Funktion führt zu etwas, das manche Anwender überraschen dürfte: Alle Zertifikate von Let's Encrypt werden automatisch in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen. Damit kann man sich eine Liste der verwendeten Hostnamen ausgeben lassen, etwa über die Zertifikatssuchmaschine crt.sh. Da die Liste der Zertifikate rasant anwächst, dauert die Suche ein wenig. Der crt.sh-Service bietet auch eine PostgreSQL-API an, über die man die Hostnamen aus der Datenbank abfragen kann.

Für Angreifer bietet das eine einfache Möglichkeit, die Hostnamen von Tausenden Fritzboxen schnell herauszufinden. Wenn nun beispielsweise eine Sicherheitslücke im Webinterface oder in der SIP-Funktion bekannt wird, könnte ein Angreifer sehr schnell sehr viele Geräte übernehmen.

Hilft ein zufälliger Port wirklich?

"Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine 'Verstecken' bzw. Versuchen, nicht gefunden zu werden", erklärte Doris Haar von AVM auf unsere Anfrage. "Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden."

Dass generell das Verstecken von Hosts keine gute Strategie ist, um Sicherheit zu gewährleisten, ist sicher richtig. Die zufällig vergebenen HTTPS-Ports dürften allerdings wenig helfen. Sie führen allenfalls dazu, dass ein Angreifer einige Minuten länger benötigt, um entsprechende Portscans durchzuführen.

Neben dem HTTPS-Webinterface ist offenbar auf vielen der Geräte auch der SIP-Port geöffnet. Eine Sicherheitslücke hier könnte also ebenfalls ausgenutzt werden.

Viele Anwender verwenden ihre Fritzbox anscheinend auch, um den HTTPS-Port 443 direkt an dahinter stehende Server weiterzuleiten. So fanden wir nicht wenige Owncloud-Installationen, die so erreichbar sind.

Wie sicher sind Fritzbox-Geräte?

Trotz dieser Nebeneffekte kann man durchaus der Ansicht sein, dass die automatische Zertifikatserstellung sinnvoll ist. Allerdings wäre es vermutlich eine gute Idee, wenn AVM seine Kunden darauf hinweist, dass dies dazu führt, dass ihre Hostnamen künftig öffentlich bekannt sind.

Die entscheidende Frage dürfte allerdings sein: Wie gut sind die Fritzboxen gegen Angriffe aus dem Netz geschützt? Man kann gewisse Zweifel daran haben. Generell ist die Sicherheit von Embedded-Geräten wie Routern oft nicht gut, AVM betreibt bisher nicht einmal ein Bug-Bounty-Programm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. gratis
  2. Prime 30 Tage kostenlos testen - danach 7,99€ pro Monat, jederzeit kündbar
  3. (u. a. 11 bis 12 Uhr: LG 49SM86007 für 389€ - 14 bis 15 Uhr: LG 65UM7000 für 499€ - 15 bis 16...
  4. 229,90€ (Vergleichspreis 254€)

U.S.tooth 04. Mär 2020

Das schlimmste an dem Gerümpel ist ja dass er ne root SSH Sitzung auf die Kiste...

Herbert_1965 01. Apr 2018

Mit in Kraft treten der EU Datenschutzgrundversorgung im Mai 2018, sollten Firmen wie AVM...

GodsBoss 19. Dez 2017

Der Vorposter sprach von HTTP-Servern generell, nicht einer speziellen Implementierung...

ThomasSV 19. Dez 2017

Selbst wenn dem so wäre (was ich gar nicht für so zwingend halte: das Wissens über solche...

Tuxgamer12 18. Dez 2017

Musst eben manuell deine selbst signierten Zertifikate zu den jeweiligen Browsern...


Folgen Sie uns
       


Tesla-Baustelle in Grünheide - Eindrücke (März 2020)

Golem.de hat im März 2020 die Baustelle der Tesla-Fabrik in Grünheide besucht und Drohnenaufnahmen vom aktuellen Stand des Großprojekts gedreht.

Tesla-Baustelle in Grünheide - Eindrücke (März 2020) Video aufrufen
5G: Neue US-Sanktionen sollen Huawei in Europa erledigen
5G
Neue US-Sanktionen sollen Huawei in Europa erledigen

Die USA verbieten ausländischen Chipherstellern, für Huawei zu arbeiten und prompt fordern die US-Lobbyisten wieder einen Ausschluss in Europa.
Eine Analyse von Achim Sawall

  1. Android Huawei bringt Smartphone mit großem Akku für 150 Euro
  2. Android Huawei stellt kleines Smartphone für 110 Euro vor
  3. Global Analyst Summit Huaweis "gegenwärtiges Ziel ist, zu überleben"

Big Blue Button: Wie CCC-Urgesteine gegen Teams und Zoom kämpfen
Big Blue Button
Wie CCC-Urgesteine gegen Teams und Zoom kämpfen

Ein Verein aus dem Umfeld des CCC zeigt in Berlin, wie sich Schulen mit Open Source digitalisieren lassen. Schüler, Eltern und Lehrer sind begeistert.
Ein Bericht von Friedhelm Greis

  1. Mint-Allianz Wir bleiben schlau! Wir bleiben unwissend!
  2. Programmieren lernen Informatik-Apps für Kinder sind oft zu komplex

Corona: Japans Krankenhäuser steigen endlich von Fax auf E-Mail um
Corona
Japans Krankenhäuser steigen endlich von Fax auf E-Mail um

In Japan löst die Coronakrise einen Modernisierungsschub aus. Den Ärzten in den Krankenhäusern fehlt die Zeit für das manuelle Ausfüllen von Formularen.
Ein Bericht von Felix Lill

  1. Corona IFA 2020 findet doch als physisches Event statt
  2. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden
  3. Coronapandemie Wie wir fliegen werden

    •  /