Neuere Firefox-Versionen bringen beim Login auf den eigenen Router im LAN eine Warnmeldung „Diese Verbindung ist nicht verschlüsselt…“
Um das zu vermeiden, muß ich wohl den Router auf SSL umstellen. Kann mir jemand sagen, wie das geht, unter LEDE 17?
Unter System - Administration kann ich SSH-Schlüssel verwalten. Hat es damit zu tun? Ein Schlüsselpaar generieren kann ich mit OpenSSL. Aber wie installiere ich es in LEDE? Muß ich den öffentlichen Schlüssel im Klartext in diese Zeile kopieren? Und wenn ja: in welchem Textformat?
Für Gluon gilt darüber hinaus, dass SSL (selbst irgendwelche „tiny“-Versionen) zumindest für die Router mit 4MB Flash/32MB RAM nicht passen.
Das bleibt also (wie andere Dinge auch) den besser ausgestatteten Modellen vorbehalten, die damit einen Pluspunkt mehr an Zukunftssicherheit haben.
IIRC war der Punkt „geringer (Massen-) Speicherverbrauch“ ein Designziel z. B. bei fastd. Aus dem gleichen Grund gibt’s auch kein https:// für’s autoupdate — in 4 MB ist einfach dafür kein Platz. (Und bei größerem Flash machten verschiedene Update-URLs die Sache auch eher nicht leichter.)
Puh. Ich halte es für wenig zielführend, auf erkennbar lokalen Adressen (IPv4: RFC1918; IPv6: ULA, LL) zwingend die gleichen Regeln anzuwenden, die sinnvollerweise für Weitverkehrsnetze gelten sollten.
Ja, für Firmwareupdates wäre eine verschlüsselte Übertragung wünschenswert (aber, s. o.; solange das nicht für jedes Gerät nutzbar ist, wäre es ein Fluch und kein Segen) — zur Oberfläche des lokalen Freifunkrouters ist sie, im Config-Mode wie auch im Normalbetrieb, ziemlich gut verschmerzbar. Lies: das Problem hier ist ein überbordender Aktivismus bei den Browserherstellern, nicht das Fehlen von SSL für öffentliche Daten.
Du magst keine karpotte Datei unterjubeln können, dennoch ist zumindest ein DOS per MITM-Ansatz denkbar. Es ist einfach ›schwierig‹, der Bevölkerung einerseits einzubläuen, daß nur URLs mit https:// »sicher« sind, andererseits beim Freifunk auch http:// super sicher ist.
Das vielleicht nicht, aber Oma Ernas Enkel mag sich wundern, warum die Firmware nicht zwingend transportverschlüsselt übertragen wird (kein http-nach-https-Rewrite). Und dann doch lieber Telekom_FON aktivieren.