(gelöst) Router-Zugriff per SSL/https

Tipi · 8. Mai 2018 um 08:42

Hallo!

Neuere Firefox-Versionen bringen beim Login auf den eigenen Router im LAN eine Warnmeldung „Diese Verbindung ist nicht verschlüsselt…“

Um das zu vermeiden, muß ich wohl den Router auf SSL umstellen. Kann mir jemand sagen, wie das geht, unter LEDE 17?

Unter System - Administration kann ich SSH-Schlüssel verwalten. Hat es damit zu tun? Ein Schlüsselpaar generieren kann ich mit OpenSSL. Aber wie installiere ich es in LEDE? Muß ich den öffentlichen Schlüssel im Klartext in diese Zeile kopieren? Und wenn ja: in welchem Textformat?

Wäre nett, wenn mir jemand Hinweise geben könnte.

Freundliche Grüße
Tipi

MisterCrumble · 8. Mai 2018 um 09:05

Hallo,

der SSH Schlüssel hat mit dem SSL Key nichts zu tun.

Weiter Infos direkt zu LEDE findest du unter [OpenWrt Wiki] Documentation

Edit: [OpenWrt Wiki] docs:guide-user:luci:getting-rid-of-luci-https-certificate-warnings könnte dir weiterhelfen

Tipi · 8. Mai 2018 um 09:11

Aha! Danke, schaue ich mir an.

adorfer · 8. Mai 2018 um 10:43

Für Gluon gilt darüber hinaus, dass SSL (selbst irgendwelche „tiny“-Versionen) zumindest für die Router mit 4MB Flash/32MB RAM nicht passen.
Das bleibt also (wie andere Dinge auch) den besser ausgestatteten Modellen vorbehalten, die damit einen Pluspunkt mehr an Zukunftssicherheit haben.

Siehe auch Liste der Router mit mindestens 8 MB und USB

wusel · 8. Mai 2018 um 21:28

IIRC war der Punkt „geringer (Massen-) Speicherverbrauch“ ein Designziel z. B. bei fastd. Aus dem gleichen Grund gibt’s auch kein https:// für’s autoupdate — in 4 MB ist einfach dafür kein Platz. (Und bei größerem Flash machten verschiedene Update-URLs die Sache auch eher nicht leichter.)

Puh. Ich halte es für wenig zielführend, auf erkennbar lokalen Adressen (IPv4: RFC1918; IPv6: ULA, LL) zwingend die gleichen Regeln anzuwenden, die sinnvollerweise für Weitverkehrsnetze gelten sollten.
Ja, für Firmwareupdates wäre eine verschlüsselte Übertragung wünschenswert (aber, s. o.; solange das nicht für jedes Gerät nutzbar ist, wäre es ein Fluch und kein Segen) — zur Oberfläche des lokalen Freifunkrouters ist sie, im Config-Mode wie auch im Normalbetrieb, ziemlich gut verschmerzbar. Lies: das Problem hier ist ein überbordender Aktivismus bei den Browserherstellern, nicht das Fehlen von SSL für öffentliche Daten.

Tipi · 9. Mai 2018 um 07:41

Hallo alle,

vielen Dank für eure Hinweise. Mein Router hat zwar 8 MB, aber ich werde es wohl lieber lassen und mit der Browserwarnung leben.

Viele Grüße
Tipi

rotanid · 10. Mai 2018 um 22:58

weil? die Files sind sowieso gehashed und signiert?

aber es schien hier ja um pures LEDE zu gehen, also wird das off-topic…

wusel · 16. Mai 2018 um 01:42

Du magst keine karpotte Datei unterjubeln können, dennoch ist zumindest ein DOS per MITM-Ansatz denkbar. Es ist einfach ›schwierig‹, der Bevölkerung einerseits einzubläuen, daß nur URLs mit https:// »sicher« sind, andererseits beim Freifunk auch http:// super sicher ist.

rotanid · 16. Mai 2018 um 09:54

„die Bevölkerung“ guckt aber gar nicht erst in routerkonfigurationen um dort Links ohne SSL zu entdecken.

wusel · 17. Mai 2018 um 23:20

Das vielleicht nicht, aber Oma Ernas Enkel mag sich wundern, warum die Firmware nicht zwingend transportverschlüsselt übertragen wird (kein http-nach-https-Rewrite). Und dann doch lieber Telekom_FON aktivieren.