Abo
  • Services:
Anzeige
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Das Web bewegt sich in Richtung HTTPS. Browserhersteller warnen inzwischen immer häufiger, wenn Daten über unsichere HTTP-Verbindungen übertragen werden. Ein Problem, das dabei zunehmend dringender wird, sind Embedded-Geräte mit Webinterfaces.

Anzeige

Die Hersteller können entweder unsicheres HTTP anbieten - oder HTTPS mittels selbstsignierter Zertifikate. Letzteres führt zu unschönen Fehlermeldungen. In vielen Fällen haben Hersteller in der Vergangenheit sogar identische Zertifikate mit identischen privaten Schlüsseln auf allen Geräten ausgeliefert, was natürlich besonders unsicher ist.

AVM, der Hersteller der vor allem in Deutschland beliebten Fritzbox-Router, geht jetzt einen neuen Weg: Für das Webinterface, das auch von außen erreichbar ist, kann man jetzt automatisch ein Zertifikat mittels des ACME-Protokolls von Let's Encrypt erstellen lassen. Dies gilt dann für eine Subdomain des AVM-eigenen Dienstes myfritz.net, der Hostname zeigt dynamisch immer auf die aktuelle IP des Routers.

Zur Zeit steht die Funktion in der Beta-Firmware 6.98 der Fritzbox 7490 zur Verfügung. Damit kann man das Webinterface von außen erreichen - ohne Fehlermeldung, abgesichert mit einem korrekten TLS-Zertifikat.

Hostnamen sind öffentlich

Doch die neue Funktion führt zu etwas, das manche Anwender überraschen dürfte: Alle Zertifikate von Let's Encrypt werden automatisch in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen. Damit kann man sich eine Liste der verwendeten Hostnamen ausgeben lassen, etwa über die Zertifikatssuchmaschine crt.sh. Da die Liste der Zertifikate rasant anwächst, dauert die Suche ein wenig. Der crt.sh-Service bietet auch eine PostgreSQL-API an, über die man die Hostnamen aus der Datenbank abfragen kann.

Für Angreifer bietet das eine einfache Möglichkeit, die Hostnamen von Tausenden Fritzboxen schnell herauszufinden. Wenn nun beispielsweise eine Sicherheitslücke im Webinterface oder in der SIP-Funktion bekannt wird, könnte ein Angreifer sehr schnell sehr viele Geräte übernehmen.

Hilft ein zufälliger Port wirklich?

"Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine 'Verstecken' bzw. Versuchen, nicht gefunden zu werden", erklärte Doris Haar von AVM auf unsere Anfrage. "Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden."

Dass generell das Verstecken von Hosts keine gute Strategie ist, um Sicherheit zu gewährleisten, ist sicher richtig. Die zufällig vergebenen HTTPS-Ports dürften allerdings wenig helfen. Sie führen allenfalls dazu, dass ein Angreifer einige Minuten länger benötigt, um entsprechende Portscans durchzuführen.

Neben dem HTTPS-Webinterface ist offenbar auf vielen der Geräte auch der SIP-Port geöffnet. Eine Sicherheitslücke hier könnte also ebenfalls ausgenutzt werden.

Viele Anwender verwenden ihre Fritzbox anscheinend auch, um den HTTPS-Port 443 direkt an dahinter stehende Server weiterzuleiten. So fanden wir nicht wenige Owncloud-Installationen, die so erreichbar sind.

Wie sicher sind Fritzbox-Geräte?

Trotz dieser Nebeneffekte kann man durchaus der Ansicht sein, dass die automatische Zertifikatserstellung sinnvoll ist. Allerdings wäre es vermutlich eine gute Idee, wenn AVM seine Kunden darauf hinweist, dass dies dazu führt, dass ihre Hostnamen künftig öffentlich bekannt sind.

Die entscheidende Frage dürfte allerdings sein: Wie gut sind die Fritzboxen gegen Angriffe aus dem Netz geschützt? Man kann gewisse Zweifel daran haben. Generell ist die Sicherheit von Embedded-Geräten wie Routern oft nicht gut, AVM betreibt bisher nicht einmal ein Bug-Bounty-Programm.


eye home zur Startseite
GodsBoss 19. Dez 2017

Der Vorposter sprach von HTTP-Servern generell, nicht einer speziellen Implementierung...

Themenstart

coastbrot 19. Dez 2017

kresches?! Ehrlich jetzt?

Themenstart

ThomasSV 19. Dez 2017

Selbst wenn dem so wäre (was ich gar nicht für so zwingend halte: das Wissens über solche...

Themenstart

Tuxgamer12 18. Dez 2017

Musst eben manuell deine selbst signierten Zertifikate zu den jeweiligen Browsern...

Themenstart

Niyak 18. Dez 2017

Moment mal, es ist doch absolut üblich, dass Bugs nicht sofort publiziert werden...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. MT AG, Ratingen bei Düsseldorf
  3. MOBIL ELEKTRONIK GMBH, Langenbeutingen
  4. Landratsamt Starnberg, Starnberg


Anzeige
Top-Angebote
  1. (u. a. NBA 2K18 PS4/XBO 29€)
  2. 42€
  3. 599€ + 5,99€ Versand (Bestpreis!)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Sicherheitsupdate Microsoft-Compiler baut Schutz gegen Spectre
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: "Das Eigenlob Trumps ließ nicht lange auf...

    Mingfu | 11:59

  2. Re: Sehr schade, RIP i.MX

    bla | 11:59

  3. Re: Supercomputer sind wie Beton - es kommt drauf...

    Pfirsich_Maracuja | 11:54

  4. Re: Samsung?

    Crunchy_Nuts | 11:54

  5. Re: Wer von den 90 % nutzt denn Gmail wirklich aktiv?

    Comicbuchverkäufer | 11:40


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel