Fehler Admin auf Ipad nach Update
-
@markus84 sagte in Fehler Admin auf Ipad nach Update:
@jleg Das Problem bei dieser Lösung ist, dass der ioBroker extern erreichbar sein muss, sonst gibt es ja kein SSL Zertifikat von letsencrypt...
Nicht unbedingt. Benutzt man statt der Standard-Challenge (http) die für DNS (dns-01), kann man das auf irgendeinem Host für alle Zertifikate erledigen, ohne dass die jeweiligen Hostnamen "online" sein müssen. Allerdings muss man dafür einen Provider haben, der DNS-Einträge per API erlaubt...
-
@jleg said in Fehler Admin auf Ipad nach Update:
Nicht unbedingt. Benutzt man statt der Standard-Challenge (http) die für DNS (dns-01), kann man das auf irgendeinem Host für alle Zertifikate erledigen, ohne dass die jeweiligen Hostnamen "online" sein müssen. Allerdings muss man dafür einen Provider haben, der DNS-Einträge per API erlaubt...
Das klingt interessant - ich verstehe aber leider nur Bahnhof
Kannst du das etwas ausführlicher erklären? -
@markus84 sagte in Fehler Admin auf Ipad nach Update:
@jleg Das Problem bei dieser Lösung ist, dass der ioBroker extern erreichbar sein muss, sonst gibt es ja kein SSL Zertifikat von letsencrypt...
Nochmal die Frage, die @Thomas-Braun schon gestellt hat. Wofür braucht man dann Zugriff per https, wenn man keinen externen Zugriff wünscht/hat. Zumal hier im Forum oft genug zu lesen war, dass man nicht einfach iobroker per Portfreigabe ins Internet stellen soll. Egal ob mit Standardports, verschlüsselt oder nicht, usw.
Für Zugriff im internen Netz würde ich immer unverschlüsselten Zugriff vorziehen:-
Ich muss nicht schauen, dass das Zertifikat auch die IP-Adresse beinhaltet, um direkt per IP zugreifen zu können, ohne in einen Zertifikatsfehler zu laufen
-
Ich muss nichts regelmäßig erneuern, ob automatisch oder manuell
-
Ich baue keine zusätzlichen Fehlermöglichkeiten in die Kette
-
Ich spare etwas (wenn auch minimal) Leistung und Overhead, da schliesslich die Verschlüsselung auch geleistet werden will, wenn auch die meisten Geräte (Raspi auch?) dafür diskrete Funktionen im Code haben, also das nicht direkt im Prozessor ausführen müssen
Also bitte, wo ist auch nur ein Vorteil des Zugriffs per https im INTERNEN Netz?
Gruss, Jürgen
-
-
@wildbill
Deine halbwüchsigen Hacker-Kids können das PW nicht abgreifen. : -D -
@wildbill said in Fehler Admin auf Ipad nach Update:
Also bitte, wo ist auch nur ein Vorteil des Zugriffs per https im INTERNEN Netz?
Wenn es mit einen Klick - also ohne großen Aufwand - einfach einzuschalten wäre, würden die ganzen Sicherheitswarnungen nicht kommen. Auf dem iPad hatte ich auch schon öfter Probleme mit unverschlüsselten Seiten...
-
@markus84 sagte in Fehler Admin auf Ipad nach Update:
Wenn es mit einen Klick - also ohne großen Aufwand - einfach einzuschalten wäre, würden die ganzen Sicherheitswarnungen nicht kommen.
ich denke die kommen weil du https aktiviert hast (mit einem Klick
) -
@homoran said in Fehler Admin auf Ipad nach Update:
ich denke die kommen weil du https aktiviert hast
Habe ich ja gar nicht
Wenn es eine einfache und leicht wieder rückgängig zu machende Möglichkeit gegeben hätte, hätte ich es einfach nur mal ausprobiert. -
@markus84 Sicherheitswarnungen bekomme ich auf meinen Rechnern (diverse Linuxe und ein Windows) und Smarthphones (Android und IOS 14) eigentlich nur, wenn ich per https auf Seiten zugreife, bei denen das Zertifikat nicht passt. Und dann ist es auch völlig gerechtfertigt, wenn der Zugriff erschwert/vermieden wird. Wenn ich aber auf meine internen Seiten per http zugreife, so habe ich noch bei keinem Gert eine Sicherheitswarnung erhalten oder gar den Zugriff verweigert bekommen. Da geht die Seite einfach auf und gut.
Wenn man sich im Browser diverse Addons installiert, die alles per http verbieten und sämtlichen Traffic auf https umbiegen wollen, dann mag das so sein, aber sowas habe und brauche ich nicht. Intern geht alles (90%) über http und extern ausschliesslich per https/TLS/SSL/was auch immer.
Funktioniert und macht keine Sorgen.Gruss, Jürgen
-
@wildbill sagte in Fehler Admin auf Ipad nach Update:
Sicherheitswarnungen bekomme ich auf meinen Rechnern (diverse Linuxe und ein Windows) und Smarthphones (Android und IOS 14) eigentlich nur, wenn ich per https auf Seiten zugreife, bei denen das Zertifikat nicht passt.
definiere "Sicherheitswarnung"; Chrome z.B. nörgelt bereits seit einiger Zeit grundsätzlich, wenn "nur" http benutzt wird:
Das ist momentan nur eine verschmerzbare Meldung "im Menubar" - es ist aber durchaus nicht unwahrscheinlich, dass Google das wie üblich im Laufe der Versionen weiter verschärft. Denn "https" ist für Google das neue "http" -
@markus84 sagte in Fehler Admin auf Ipad nach Update:
Wenn es eine einfache und leicht wieder rückgängig zu machende Möglichkeit gegeben hätte, hätte ich es einfach nur mal ausprobiert.
gibt es doch!
admin-Instanz - Konfiguration - Haupteinstellungen - Checkbox https benutzen -
@homoran Ich meinte das SSL Zertifikat im lokalen Netzwerk. Bezüglich https hast du natürlich recht.
-
@homoran sagte in Fehler Admin auf Ipad nach Update:
@markus84 sagte in Fehler Admin auf Ipad nach Update:
Wenn es eine einfache und leicht wieder rückgängig zu machende Möglichkeit gegeben hätte, hätte ich es einfach nur mal ausprobiert.
gibt es doch!
admin-Instanz - Konfiguration - Haupteinstellungen - Checkbox https benutzenich glaube, das war doch der Ausgangspunkt dieses Threads - scheint so, als gäbe es bei dieser "Sorte https" inzwischen/derzeit/nach den letzten Updates Probleme mit IOS-Geräten. Die offenbar nicht bei https mit "richtigen" Certs auftreten...
-
@jleg sagte in Fehler Admin auf Ipad nach Update:
ch glaube, das war doch der Ausgangspunkt dieses Threads - scheint so, als gäbe es bei dieser "Sorte https" inzwischen/derzeit/nach den letzten Updates Probleme mit IOS-Geräten. Die offenbar nicht bei https mit "richtigen" Certs auftreten...
genau - das ist das Threadthema
-
@jleg Das sehe ich bei mir nicht in der Definition Sicherheitswarnung, sondern eben als (Sicherheits-)Hinweis. Warnung ist, wenn ich irgendwas anklicken, weglicken, bestätigen oder Ähnliches muss. Und das habe ich eben maximal dann, wenn ich per https auf eine Seite zugreife, bei der das Zertifikat nicht passt.
Also, warum sich das Leben unnötig schwer machen? Sichert das gut und vor Allem per sauberem Zertifikat ab, was von außen erreichbar sein muss, macht auch nur das von außen erreichbar was unbedingt direkt erreichbar sein muss, leitet alles andere durch ein VPN oder schaltet wenigstens einen Reverse Proxy davor und macht ansonsten alles zu, was von außen nicht erreicht werden soll. Und dazu zähle ich auch alle Webinterfaces der internen Geräte, sei es iobroker, CCU, FHEM, Home assistant, Sat-Receiver, Spülmaschine,... Sowas gehört einfach nicht direkt via Portfreigabe ins Internet.
Wobei man da nun zu Recht nach dem Sinn fragen könnte, warum iobroker es dann anbietet, das Webinterface per https und User/Password "abzusichern". Mir fällt da grad kein direkter use case ein. Aber, ich brauche es nicht und kann nur jedem davon abraten.
Gruss, Jürgen -
@jleg @Homoran Um da doch noch konstruktiv BTT beizutragen. Ich habe mit dem IPhone bei mir bei keinem Gerät/keinem meiner Webdienste Zugriffsprobleme. Weder bei denen ohne https, als auch bei denen, die Zugriff von außen haben. Die haben alle Zertifikate von Letsencrypt, natürlich passend zur jeweiligen Subdomain.
Wenn iobroker da mit Letsencrypt-Zertifikaten nicht läuft, dann scheint es zumindest was "iobroker-spezifisches" zu sein und nicht generell an "eigenen" Letsencrypt-Zertifikaten zu liegen.Gruss, Jürgen
-
@wildbill sagte in Fehler Admin auf Ipad nach Update:
@jleg @Homoran Um da doch noch konstruktiv BTT beizutragen. Ich habe mit dem IPhone bei mir bei keinem Gerät/keinem meiner Webdienste Zugriffsprobleme. Weder bei denen ohne https, als auch bei denen, die Zugriff von außen haben. Die haben alle Zertifikate von Letsencrypt, natürlich passend zur jeweiligen Subdomain.
Wenn iobroker da mit Letsencrypt-Zertifikaten nicht läuft, dann scheint es zumindest was "iobroker-spezifisches" zu seinsorry, im Thread ging's doch genau darum - mit Letsencrypt keine Probleme, mit Default-HTTPS offenbar zumindest beim TO Probleme...
-
@jleg Ach so, sorry, das kommt davon, wenn man zwischendrin einsteigt. Asche auf mein Haupt.
Dann könnte ich mir zumindest vorstellen, dass die Domain im Zertifikat nicht der aufgerufenen Adresse entspricht und ios da blockiert. Wobei Chrome und Firefox dann aber auch meckern müssten.Gruß, Jürgen
-
@wildbill sagte in Fehler Admin auf Ipad nach Update:
leitet alles andere durch ein VPN oder schaltet wenigstens einen Reverse Proxy davor
ich bin da auch völlig d'accord, was die (nicht-)Notwendigkeiten von Portforwards etc. betrifft - wer's nicht braucht, oder wer nicht weiss, was er tut, sollte es lieber lassen...
Aber was mich schon interessieren würde - inwiefern unterscheidet sich das Ganze mit Revers-Proxy von der Methode "ohne"?
Ob vor'm Portforward noch ein Proxy hängt, oder nicht, macht doch für' Prinzip erstmal keinen Unterschied, oder? -
@wildbill sagte in Fehler Admin auf Ipad nach Update:
@jleg Ach so, sorry, das kommt davon, wenn man zwischendrin einsteigt. Asche auf mein Haupt.
Dann könnte ich mir zumindest vorstellen, dass die Domain im Zertifikat nicht der aufgerufenen Adresse entspricht und ios da blockiert. Wobei Chrome und Firefox dann aber auch meckern müssten.tun sie auch - aber eben nur einmal, und dann ist gut. Der Safari scheint sich aber offenbar an was anderem zu stossen - leider ist "Debugging" (für mich) bissel schwierig, da man dafür mindestens ein Macbook bräuchte (auf dem iPad geht "Browserkonsole" nur remote mit Macbook).
-
@jleg Wenn der Reverse proxy korrekt läuft, dann lässt er eben nur Anfragen an genau die Subdomains durch, für die er eingerichtet ist. Pauschale Anfragen an www.domain.de oder direkt per IP-Adresse bringen dann eben einen Fehler oder eine Standard - Site. Ein "Angreifer" müsste also wenigstens noch die korrekte Subdomain erraten/wissen. Wobei ich auch das nicht für iobroker+Co verwenden würde. Wenn, dann VPN.
Gruß, Jürgen
