NEWS
den ioBroker sicher machen
-
@tenno2k5 Hm..., ich bin noch nicht überzeugt, denn so wie ich das verstehe, ist Dein Link https://www.elektronik-kompendium.de/sites/net/1909031.htm ja gerade die Beschreibung eines Verfahrens, daß z. B. für https eingesetzt wird, aber eben nichts mit einem erworbenen, selbst erzeugten oder auf einem Server installierten/bereitgestellten Zertifikat zu tun hat, sondern "nur" die Verschlüsselung realisiert.
Beim Verbindungsaufbau über https werden die Zertifikate dein eigenes und die vom Ziel Server werden dazu genutzt die eigentliche Verschlüsselung aufzubauen, zu einem Zertifikat gehört ein privater und ein öffentlicher Schlüssel.
Diese Deine Beschreibung kenne ich so nur für Email-Verschlüsselung. Das hat aber soweit mir bekannt, nichts mit https zu tun, sondern soll dafür sorgen, daß eine Email die (warum auch immer) auf ihrem Weg zum Empfänger irgendwo (zwischen)gespeichert wird, dort dann verschlüsselt liegt (also nicht von Personen mit Zugriff auf den Speicherort gelesen werden kann) und wirklich nur vom vorgesehenen Empfänger gelesen werden kann.
Ich bin noch immer der Meinung (laß mich aber gern eines Besseren belehren):
Verschlüsselung und Zertifikat sind zwei Paar Schuhe und für die sichere Kommunikation mit einem Server via https braucht keine Seite (schon gar nicht der Client. Woher soll das denn auch kommen, wenn man z. B. mit einer frisch installierten Maschine eine https-Seite im Browser aufruft?) ein Zertifikat, wenn ich dem Server vertraue. Ein Indiz, ob ich dem Server vertrauen sollte/darf ist dann vorhanden, wenn er ein anerkanntes (also vom Browser ohne Warnung akzeptiertes) Zertifikat vorweisen kann.Ach Gott Berufsschule ist lange her, vom vereinfachten Prinzip stimmt schon alles was ich geschrieben hatte bis auf „öffentlichen Schlüssel werden zwischen beiden Seiten ausgetauscht“
Für Https sendet nur der Server dem Client seinen öffentlichen Schlüssel beim TLS Handshake.
Und natürlich sind Zertifikate und Verschlüsselung zwei Paar Schuhe aber für Https mit TLS sowie es heutzutage gängig ist werden Zertifikate verwendet um einen symmetrischen Sitzungsschlüssel zu generieren.
Grüße
TeNNo2k5 -
Ach Gott Berufsschule ist lange her, vom vereinfachten Prinzip stimmt schon alles was ich geschrieben hatte bis auf „öffentlichen Schlüssel werden zwischen beiden Seiten ausgetauscht“
Für Https sendet nur der Server dem Client seinen öffentlichen Schlüssel beim TLS Handshake.
Und natürlich sind Zertifikate und Verschlüsselung zwei Paar Schuhe aber für Https mit TLS sowie es heutzutage gängig ist werden Zertifikate verwendet um einen symmetrischen Sitzungsschlüssel zu generieren.
Grüße
TeNNo2k5@TeNNo2k5
@stenmic schreibt (und um seine Frage geht es ja letztlich in diesem Post):Mich würde z.B. sehr interessieren wie ich ein letsencrypt Zertifikat erstellen könnte und dieses einbinde.
Ist es ohne überhaupt ein Risiko? ich nutze viele Adapter wie Nuki oder BMW… werden die Passwörter bei deren Abfragen ohne Umstellung auf https unverschlüsselt übertragen?Daraus ergibt sich für mich, daß er glaubt, durch ein letsencrypt Zertifikat wird seine Verschlüsselung sicherer oder sogar erst möglich. Und bevor mir das nicht jemand nachvollziehbar beweist, sagt mir mein bisher (zugegebener Maaßen nur selbst) erlerntes Wissen, daß das nicht stimmt. https allein erledigt die Verschlüsselung. Da braucht er sich weder ein letsencrypt noch irgendein anderes Zertifikat zu beschaffen. Ein Zertifikat bringt ihm höchstens den Vorteil, daß sein Browser nicht mehr warnt, wenn er oder jemand anderes auf seinen Server (ioBroker) zugreift. Mindestens in Firefox kann er diese Warnung für genau seinen Server / ioBroker abschalten (denn er wird ja wohl seinen eigenem Server vertrauen). Damit würde ihn dann auch ohne Zertifikat diese Browserwarnung nicht mehr nerven.
Wäre ein Zertifikat für https-Verschlüsselung erforderlich, könnte ich nicht mehr erklären, daß jeder, der auf einem Rechner z. B. Windows oder Linux installiert hat, sofort (also ohne, daß er das Wort Zertifikat überhaupt schon einmal gehört, geschweigedenn eines beschafft / installiert hat) via https Internetseiten aufrufen kann.
Meine Empfehlung an @stenmic wäre gewesen: Solange wie Dich (oder wer auch immer auf Deinen Server / ioBroker zugreift) die Browserwarnungen nicht nerven, brauchst Du Dich um keinerlei Zertifikate zu kümmern.
Gibt es einen Experten zu diesem Thema, der hier mitgelesen hat und eindeutig sagen kann, ob das / was stimmt?
Vielleicht kann ja auch @stenmic noch´mal sagen, ob ich seinen Post überhaupt richtig interpretiert habe und ob ihm meine "Einmischung" überhaupt irgendetwas bringt, sonst würde ich mich einfach wieder ´raushalten. (;-)
-
Es gibt zwei Arten von Zertifikaten. Die einen zertifizieren lediglich die Website, die anderen auch den Inhaber. Mit der Verschlüsselung haben beide nichts zu tun. Die Verschlüsselung sorgt nur dafür, dass es keine Man-in-the-Middle-Angriffe geben kann. Gegen Phishing hilft sie nicht. Dafür dienen (Inhaber-)Zertifikate, die sicherstellen sollen, dass man auch mit der korrekten Website kommuniziert.
-
Es gibt zwei Arten von Zertifikaten. Die einen zertifizieren lediglich die Website, die anderen auch den Inhaber. Mit der Verschlüsselung haben beide nichts zu tun. Die Verschlüsselung sorgt nur dafür, dass es keine Man-in-the-Middle-Angriffe geben kann. Gegen Phishing hilft sie nicht. Dafür dienen (Inhaber-)Zertifikate, die sicherstellen sollen, dass man auch mit der korrekten Website kommuniziert.
@dr-bakterius Danke, dann "markiere" ich mein bisher nur als sicher geglaubtes Wissen jetzt als verifiziert. (;-)
ioBroker auf Raspi4B 8GB Debian(12) 64Bit
-
@dr-bakterius Danke, dann "markiere" ich mein bisher nur als sicher geglaubtes Wissen jetzt als verifiziert. (;-)
Vielleicht drücke ich mich zu kompliziert aus, bei dem Versuch ein kompliziertes Thema vereinfacht darzustellen deswegen verlinke ich einfach ein paar Webseiten wo das genauer beschrieben wird:
https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certificate/
https://de.wikipedia.org/wiki/Transport_Layer_Security
https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/Grüße
TeNNo2k5 -
Hallo,
ich hätte eine Bitte, könnte ein Fachmann von euch mal ein kleines tutorial erstellen wie man eine ioBroker Installation bestmöglich absichern kann (ohne Rechenzentrum zuhause:-)
Mich würde z.B. sehr interessieren wie ich ein letsencrypt Zertifikat erstellen könnte und dieses einbinde.
Ist es ohne überhaupt ein Risiko? ich nutze viele Adapter wie Nuki oder BMW… werden die Passwörter bei deren Abfragen ohne Umstellung auf https unverschlüsselt übertragen?
ich habe eine FritzBox und nutze den VPN Zugang über MyFritz. Ist das ok, oder gibt es bessere Lösungen?
(Die Risiken von Portfreigaben sind mir bewusst, die nutze ich nicht)
Ich, und ich denke viele hier, sind da halt keine Profis, und aktuell liest man hier halt von betroffenen Usern.
Also… vielleicht können wir diesen Beitrag für Sicherheitsempfehlungen nutzen.Meine Punkte:
https
vpn@stenmic
Direkt ins Internet sollten nur Applikationen gestellt werden, die dafür gedacht sind.
Um die Sicherheit zu gewährleisten müssen diese Applikationen sehr gut getestet werden. Entdeckte Probleme sollten schnellstens behoben werden.
Iobroker gehört meiner Meinung nach nicht dazu. Ich denke auch nicht das irgendein Programmierer hier aus dem kernteam hier eine Freigabe dazu erteilen würde.
Daher kannst du eigentlich nur per VPN drauf zugreifen.
SSL ist nur eine Transportverschlüsselung diente nur dazu das Ausspähen von Daten auf dem Weg zwischen Client und Server und zurück abzusichern. Der Port steht trotzdem offen im Internet und kann da angegriffen werden.
Auch ein Reverse Proxy ist keine geeignete Maßnahme einen Port abzusichern.
732
Online32.6k
Benutzer82.1k
Themen1.3m
Beiträge