(gelöst) Router-Zugriff per SSL/https


#1

Hallo!

Neuere Firefox-Versionen bringen beim Login auf den eigenen Router im LAN eine Warnmeldung “Diese Verbindung ist nicht verschlüsselt…”

Um das zu vermeiden, muß ich wohl den Router auf SSL umstellen. Kann mir jemand sagen, wie das geht, unter LEDE 17?

Unter System - Administration kann ich SSH-Schlüssel verwalten. Hat es damit zu tun? Ein Schlüsselpaar generieren kann ich mit OpenSSL. Aber wie installiere ich es in LEDE? Muß ich den öffentlichen Schlüssel im Klartext in diese Zeile kopieren? Und wenn ja: in welchem Textformat?

Wäre nett, wenn mir jemand Hinweise geben könnte.

Freundliche Grüße
Tipi


#2

Hallo,

der SSH Schlüssel hat mit dem SSL Key nichts zu tun.

Weiter Infos direkt zu LEDE findest du unter OpenWrt Project: Documentation

Edit: OpenWrt Project: How to get rid of LuCI https certificate warnings könnte dir weiterhelfen


#3

Aha! Danke, schaue ich mir an.


#4

Für Gluon gilt darüber hinaus, dass SSL (selbst irgendwelche “tiny”-Versionen) zumindest für die Router mit 4MB Flash/32MB RAM nicht passen.
Das bleibt also (wie andere Dinge auch) den besser ausgestatteten Modellen vorbehalten, die damit einen Pluspunkt mehr an Zukunftssicherheit haben.

Siehe auch Liste der Router mit mindestens 8 MB und USB


#5

IIRC war der Punkt “geringer (Massen-) Speicherverbrauch” ein Designziel z. B. bei fastd. Aus dem gleichen Grund gibt’s auch kein https:// für’s autoupdate — in 4 MB ist einfach dafür kein Platz. (Und bei größerem Flash machten verschiedene Update-URLs die Sache auch eher nicht leichter.)

Puh. Ich halte es für wenig zielführend, auf erkennbar lokalen Adressen (IPv4: RFC1918; IPv6: ULA, LL) zwingend die gleichen Regeln anzuwenden, die sinnvollerweise für Weitverkehrsnetze gelten sollten.
Ja, für Firmwareupdates wäre eine verschlüsselte Übertragung wünschens­wert (aber, s. o.; solange das nicht für jedes Gerät nutzbar ist, wäre es ein Fluch und kein Segen) — zur Oberfläche des lokalen Freifunkrouters ist sie, im Config-Mode wie auch im Normalbetrieb, ziemlich gut verschmerzbar. Lies: das Problem hier ist ein überbordender Aktivismus bei den Browserherstellern, nicht das Fehlen von SSL für öffentliche Daten.


#6

Hallo alle,

vielen Dank für eure Hinweise. Mein Router hat zwar 8 MB, aber ich werde es wohl lieber lassen und mit der Browserwarnung leben.

Viele Grüße
Tipi


#7

weil? die Files sind sowieso gehashed und signiert?

aber es schien hier ja um pures LEDE zu gehen, also wird das off-topic…


#8

Du magst keine karpotte Datei unterjubeln können, dennoch ist zumindest ein DOS per MITM-Ansatz denkbar. Es ist einfach ›schwierig‹, der Bevölkerung einerseits einzubläuen, daß nur URLs mit https:// »sicher« sind, andererseits beim Freifunk auch http:// super sicher ist.


#9

“die Bevölkerung” guckt aber gar nicht erst in routerkonfigurationen um dort Links ohne SSL zu entdecken.


#10

Das vielleicht nicht, aber Oma Ernas Enkel mag sich wundern, warum die Firmware nicht zwingend transportverschlüsselt übertragen wird (kein http-nach-https-Rewrite). Und dann doch lieber Telekom_FON aktivieren.