Abo
  • Services:

HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Artikel veröffentlicht am , Hanno Böck
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden.
Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh)

Das Web bewegt sich in Richtung HTTPS. Browserhersteller warnen inzwischen immer häufiger, wenn Daten über unsichere HTTP-Verbindungen übertragen werden. Ein Problem, das dabei zunehmend dringender wird, sind Embedded-Geräte mit Webinterfaces.

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Dresden
  2. Ruhrverband, Essen

Die Hersteller können entweder unsicheres HTTP anbieten - oder HTTPS mittels selbstsignierter Zertifikate. Letzteres führt zu unschönen Fehlermeldungen. In vielen Fällen haben Hersteller in der Vergangenheit sogar identische Zertifikate mit identischen privaten Schlüsseln auf allen Geräten ausgeliefert, was natürlich besonders unsicher ist.

AVM, der Hersteller der vor allem in Deutschland beliebten Fritzbox-Router, geht jetzt einen neuen Weg: Für das Webinterface, das auch von außen erreichbar ist, kann man jetzt automatisch ein Zertifikat mittels des ACME-Protokolls von Let's Encrypt erstellen lassen. Dies gilt dann für eine Subdomain des AVM-eigenen Dienstes myfritz.net, der Hostname zeigt dynamisch immer auf die aktuelle IP des Routers.

Zur Zeit steht die Funktion in der Beta-Firmware 6.98 der Fritzbox 7490 zur Verfügung. Damit kann man das Webinterface von außen erreichen - ohne Fehlermeldung, abgesichert mit einem korrekten TLS-Zertifikat.

Hostnamen sind öffentlich

Doch die neue Funktion führt zu etwas, das manche Anwender überraschen dürfte: Alle Zertifikate von Let's Encrypt werden automatisch in den öffentlich zugänglichen Logs des Certificate-Transparency-Systems eingetragen. Damit kann man sich eine Liste der verwendeten Hostnamen ausgeben lassen, etwa über die Zertifikatssuchmaschine crt.sh. Da die Liste der Zertifikate rasant anwächst, dauert die Suche ein wenig. Der crt.sh-Service bietet auch eine PostgreSQL-API an, über die man die Hostnamen aus der Datenbank abfragen kann.

Für Angreifer bietet das eine einfache Möglichkeit, die Hostnamen von Tausenden Fritzboxen schnell herauszufinden. Wenn nun beispielsweise eine Sicherheitslücke im Webinterface oder in der SIP-Funktion bekannt wird, könnte ein Angreifer sehr schnell sehr viele Geräte übernehmen.

Hilft ein zufälliger Port wirklich?

"Sicherheitsmodelle sollten unserer Meinung nach auch weitreichender sein als das reine 'Verstecken' bzw. Versuchen, nicht gefunden zu werden", erklärte Doris Haar von AVM auf unsere Anfrage. "Übrigens, Fritzbox vergibt zufällige Ports für HTTPS. Der Domainname allein reicht also nicht, um Fritzbox-HTTPS-Interfaces zu finden."

Dass generell das Verstecken von Hosts keine gute Strategie ist, um Sicherheit zu gewährleisten, ist sicher richtig. Die zufällig vergebenen HTTPS-Ports dürften allerdings wenig helfen. Sie führen allenfalls dazu, dass ein Angreifer einige Minuten länger benötigt, um entsprechende Portscans durchzuführen.

Neben dem HTTPS-Webinterface ist offenbar auf vielen der Geräte auch der SIP-Port geöffnet. Eine Sicherheitslücke hier könnte also ebenfalls ausgenutzt werden.

Viele Anwender verwenden ihre Fritzbox anscheinend auch, um den HTTPS-Port 443 direkt an dahinter stehende Server weiterzuleiten. So fanden wir nicht wenige Owncloud-Installationen, die so erreichbar sind.

Wie sicher sind Fritzbox-Geräte?

Trotz dieser Nebeneffekte kann man durchaus der Ansicht sein, dass die automatische Zertifikatserstellung sinnvoll ist. Allerdings wäre es vermutlich eine gute Idee, wenn AVM seine Kunden darauf hinweist, dass dies dazu führt, dass ihre Hostnamen künftig öffentlich bekannt sind.

Die entscheidende Frage dürfte allerdings sein: Wie gut sind die Fritzboxen gegen Angriffe aus dem Netz geschützt? Man kann gewisse Zweifel daran haben. Generell ist die Sicherheit von Embedded-Geräten wie Routern oft nicht gut, AVM betreibt bisher nicht einmal ein Bug-Bounty-Programm.



Anzeige
Hardware-Angebote
  1. 94,90€ + Versand mit Gutschein QVO20
  2. 249€ + Versand
  3. täglich neue Deals bei Alternate.de

Herbert_1965 01. Apr 2018

Mit in Kraft treten der EU Datenschutzgrundversorgung im Mai 2018, sollten Firmen wie AVM...

GodsBoss 19. Dez 2017

Der Vorposter sprach von HTTP-Servern generell, nicht einer speziellen Implementierung...

coastbrot 19. Dez 2017

kresches?! Ehrlich jetzt?

ThomasSV 19. Dez 2017

Selbst wenn dem so wäre (was ich gar nicht für so zwingend halte: das Wissens über solche...

Tuxgamer12 18. Dez 2017

Musst eben manuell deine selbst signierten Zertifikate zu den jeweiligen Browsern...


Folgen Sie uns
       


The Division 2 - Test

The Division 2 ist ein spektakuläres Spiel - und um einiges besser als der Vorgänger.

The Division 2 - Test Video aufrufen
Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /