Abo
  • Services:

HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Artikel veröffentlicht am , Hanno Böck
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

Das Web bewegt sich in Richtung HTTPS. Browserhersteller warnen inzwischen immer häufiger, wenn Daten über unsichere HTTP-Verbindungen übertragen werden. Ein Problem, das dabei zunehmend dringender wird, sind Embedded-Geräte mit Webinterfaces.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Die Hersteller können entweder unsicheres HTTP anbieten - oder HTTPS mittels selbstsignierter Zertifikate. Letzteres führt zu unschönen Fehlermeldungen. In vielen Fällen haben Hersteller in der Vergangenheit sogar identische Zertifikate mit identischen privaten Schlüsseln auf allen Geräten ausgeliefert, was natürlich besonders unsicher ist.

AVM, der Hersteller der vor allem in Deutschland beliebten Fritzbox-Router, geht jetzt einen neuen Weg: Für das Webinterface, das auch von außen erreichbar ist, kann man jetzt automatisch ein Zertifikat mittels des ACME-Protokolls von Let's Encrypt erstellen lassen. Dies gilt dann für eine Subdomain des AVM-eigenen Dienstes myfritz.net, der Hostname zeigt dynamisch immer auf die aktuelle IP des Routers.

Zur Zeit steht die Funktion in der Beta-Firmware 6.98 der Fritzbox 7490 zur Verfügung. Damit kann man das Webinterface von außen erreichen - ohne Fehlermeldung, abgesichert mit einem korrekten TLS-Zertifikat.

Hostnamen sind öffentlich

Doch die neue Funktion führt zu etwas, das manche Anwender überraschen dürfte: Alle Zertifikate von Let's Encrypt werden automatisch in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen. Damit kann man sich eine Liste der verwendeten Hostnamen ausgeben lassen, etwa über die Zertifikatssuchmaschine crt.sh. Da die Liste der Zertifikate rasant anwächst, dauert die Suche ein wenig. Der crt.sh-Service bietet auch eine PostgreSQL-API an, über die man die Hostnamen aus der Datenbank abfragen kann.

Für Angreifer bietet das eine einfache Möglichkeit, die Hostnamen von Tausenden Fritzboxen schnell herauszufinden. Wenn nun beispielsweise eine Sicherheitslücke im Webinterface oder in der SIP-Funktion bekannt wird, könnte ein Angreifer sehr schnell sehr viele Geräte übernehmen.

Hilft ein zufälliger Port wirklich?

"Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine 'Verstecken' bzw. Versuchen, nicht gefunden zu werden", erklärte Doris Haar von AVM auf unsere Anfrage. "Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden."

Dass generell das Verstecken von Hosts keine gute Strategie ist, um Sicherheit zu gewährleisten, ist sicher richtig. Die zufällig vergebenen HTTPS-Ports dürften allerdings wenig helfen. Sie führen allenfalls dazu, dass ein Angreifer einige Minuten länger benötigt, um entsprechende Portscans durchzuführen.

Neben dem HTTPS-Webinterface ist offenbar auf vielen der Geräte auch der SIP-Port geöffnet. Eine Sicherheitslücke hier könnte also ebenfalls ausgenutzt werden.

Viele Anwender verwenden ihre Fritzbox anscheinend auch, um den HTTPS-Port 443 direkt an dahinter stehende Server weiterzuleiten. So fanden wir nicht wenige Owncloud-Installationen, die so erreichbar sind.

Wie sicher sind Fritzbox-Geräte?

Trotz dieser Nebeneffekte kann man durchaus der Ansicht sein, dass die automatische Zertifikatserstellung sinnvoll ist. Allerdings wäre es vermutlich eine gute Idee, wenn AVM seine Kunden darauf hinweist, dass dies dazu führt, dass ihre Hostnamen künftig öffentlich bekannt sind.

Die entscheidende Frage dürfte allerdings sein: Wie gut sind die Fritzboxen gegen Angriffe aus dem Netz geschützt? Man kann gewisse Zweifel daran haben. Generell ist die Sicherheit von Embedded-Geräten wie Routern oft nicht gut, AVM betreibt bisher nicht einmal ein Bug-Bounty-Programm.



Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. 149,90€ + Versand (im Preisvergleich ab 184,95€)

Herbert_1965 01. Apr 2018

Mit in Kraft treten der EU Datenschutzgrundversorgung im Mai 2018, sollten Firmen wie AVM...

GodsBoss 19. Dez 2017

Der Vorposter sprach von HTTP-Servern generell, nicht einer speziellen Implementierung...

coastbrot 19. Dez 2017

kresches?! Ehrlich jetzt?

ThomasSV 19. Dez 2017

Selbst wenn dem so wäre (was ich gar nicht für so zwingend halte: das Wissens über solche...

Tuxgamer12 18. Dez 2017

Musst eben manuell deine selbst signierten Zertifikate zu den jeweiligen Browsern...


Folgen Sie uns
       


Command and Conquer (1995) - Golem retro_

Grünes Gold, Kane und - jedenfalls in Deutschland - Cyborgs statt Soldaten stehen im Mittelpunkt aller Nostalgie für Command & Conquer.

Command and Conquer (1995) - Golem retro_ Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /