Discussion:
speedport.ip (Zertifikat)
(zu alt für eine Antwort)
Heinz Brueckner
2014-09-19 12:35:24 UTC
Permalink
Hallo erst mal,

ich möchte zu meinem speedport (macht automatisch https://) und bekomme das:
---
Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit speedport.ip aufgetreten. Das
Aussteller-Zertifikat ist ungültig. (Fehlercode: sec_error_ca_cert_invalid)

Die Website kann nicht angezeigt werden, da die Authentizität der
erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses
Problem zu informieren.
---

Was mache ich nu?

Gruß, Heinz
Shinji Ikari
2014-09-19 12:55:47 UTC
Permalink
Guten Tag
...
Post by Heinz Brueckner
Was mache ich nu?
a) Einn Browser nutzen, der das Zertifikat nicht prueft oder sich das
alt Zertifikat unter schieben laesst
oder
b) einen anderen Router nutzen/kaufen
c) Den Hersteller/Verkauer bitten eine Firmware mit aktuell gueltigem
zertifikat bereit zu stellen und Dir zu erklaeren, wie Du die da rein
bringst
...
Heinz Brueckner
2014-09-19 13:15:49 UTC
Permalink
Post by Shinji Ikari
Guten Tag
...
Post by Heinz Brueckner
Was mache ich nu?
a) Einn Browser nutzen, der das Zertifikat nicht prueft oder sich das
alt Zertifikat unter schieben laesst
oder
b) einen anderen Router nutzen/kaufen
c) Den Hersteller/Verkauer bitten eine Firmware mit aktuell gueltigem
zertifikat bereit zu stellen und Dir zu erklaeren, wie Du die da rein
bringst
Vielleicht sollte ich mal in "de.comm.provider.t-online" nachfragen?
Daniel Weber
2014-09-19 13:25:12 UTC
Permalink
Post by Heinz Brueckner
Vielleicht sollte ich mal in "de.comm.provider.t-online" nachfragen?
Da bist Du bereits. Ändert aber nicht daran: Das Zertifikat ist
abgelaufen. Entweder liefert die Telekom ein Firmware-Update, das ein
neues, aktuelleres Zertifikat enthält, oder Du bringst Deinem Browser
bei das Problem zu ignorieren.

Ciao,
Daniel
Heinz Brueckner
2014-09-19 13:39:59 UTC
Permalink
am Fri, 19 Sep 2014 15:25:12 +0200 schrieb Daniel Weber
Post by Daniel Weber
Post by Heinz Brueckner
Vielleicht sollte ich mal in "de.comm.provider.t-online" nachfragen?
Da bist Du bereits. Ändert aber nicht daran: Das Zertifikat ist
abgelaufen. Entweder liefert die Telekom ein Firmware-Update, das ein
neues, aktuelleres Zertifikat enthält, oder Du bringst Deinem Browser
bei das Problem zu ignorieren.
Firefox 32.0 - Tips? Howto?

Andererseits: Wie bekäme ich ein "Firmware-Update" von der Telekom?


Gruß, Heinz
Michael Pachta
2014-09-19 13:43:02 UTC
Permalink
Post by Heinz Brueckner
Andererseits: Wie bekäme ich ein "Firmware-Update" von der Telekom?
Ist das Gerät gemietet? Falls ja, dann lass das das Problem der Telekom
sein, nachdem du dem Support von diesem Problem berichtet hast.

M.
Daniel Weber
2014-09-19 13:45:55 UTC
Permalink
Post by Heinz Brueckner
Firefox 32.0 - Tips? Howto?
Dort solltest Du angeboten bekommen, dass Problem zu ignorieren und eine
Ausnahmeregel für dieses Zertifikat anzulegen.
Post by Heinz Brueckner
Andererseits: Wie bekäme ich ein "Firmware-Update" von der Telekom?
Auf der Website bei den Downloads. Wenn dort keines für Deinen exakten
Gerätetyp ist dann mal ***@telekom.de anschreiben und danach Fragen
(unter Nennung des exakten Gerätetyps).

Ciao,
Daniel
Shinji Ikari
2014-09-19 14:39:35 UTC
Permalink
Guten Tag
Post by Heinz Brueckner
Post by Daniel Weber
Da bist Du bereits. Ändert aber nicht daran: Das Zertifikat ist
abgelaufen. Entweder liefert die Telekom ein Firmware-Update, das ein
neues, aktuelleres Zertifikat enthält, oder Du bringst Deinem Browser
bei das Problem zu ignorieren.
Firefox 32.0 - Tips? Howto?
Mein FF 32.0.1 fragt mich bei diversen alten Zertifikaten ob ich das
risiko kenne und akzeptieren will. Das bestaetige ich, wenn ich mir
sicher bin und lasse die EInstellung ggf. dauerhaft speichern.
Post by Heinz Brueckner
Andererseits: Wie bekäme ich ein "Firmware-Update" von der Telekom?
hast Du bei der Telekom gekauft?
Dann den Support lieb fragen.
Shinji Ikari
2014-09-19 14:37:35 UTC
Permalink
Guten Tag
Post by Heinz Brueckner
Post by Shinji Ikari
a) Einn Browser nutzen, der das Zertifikat nicht prueft oder sich das
alt Zertifikat unter schieben laesst
...
Post by Heinz Brueckner
Vielleicht sollte ich mal in "de.comm.provider.t-online" nachfragen?
Das kannst Du machen. Wenn Du dann noch mitteilst, welchen browser Du
nutzt, koennte es helfen.
Andreas M. Kirchwitz
2014-09-19 14:24:47 UTC
Permalink
Post by Heinz Brueckner
---
Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit speedport.ip aufgetreten. Das
Aussteller-Zertifikat ist ungültig. (Fehlercode: sec_error_ca_cert_invalid)
Die Zertifikate der Speedports werden irgendwann ungültig, weil die
Telekom diese Geräte verrotten lässt. Im Download-Center der Telekom
kannst Du nach Updates suchen, aber bei den wenigen Bug-Fixes, welche
die Telekom überhaupt anbietet, werden die Zertifikate normalerweise
nicht mehr aktualisiert.

Die Telekom steht auf dem Standpunkt, dass Sicherheit überbewertet
wird und es vernünftig ist, die Kunden so zu erziehen, dass sie
Warnungen immer brav wegklicken.

Andererseits sind die Speedports meist so simpel, dass es nach der
initialen Konfiguration selten einen Grund gibt, sich jemals wieder
darauf einzuloggen.
Post by Heinz Brueckner
Was mache ich nu?
Das abgelaufene Zertifikat als Ausnahme akzeptieren. Die gängigen
Browser bieten (teils unscheinbar und leicht zu übersehen) auf der
Fehlerseite einen Button o.ä. an, um das Zertifikat dennoch zu
benutzen. Man kennt das Spiel bereits von bösen selbstsignierten
Zertifikaten.

Im Zweifelsfall einen anderen Browser nehmen. (Die ganz alten
Speedports wie der 920 laufen eh nicht mehr mit Firefox. Aber
Google Chrome funktioniert damit noch.)

Grüße, Andreas
Ulrich Zwirner
2014-09-19 21:46:50 UTC
Permalink
Post by Andreas M. Kirchwitz
Die Telekom steht auf dem Standpunkt, dass Sicherheit überbewertet
wird und es vernünftig ist, die Kunden so zu erziehen, dass sie
Warnungen immer brav wegklicken.
Andere Routerhersteller wie die Telekom bei ihren Speedports inzwischen
auch, nutzen gar keinen verschlüsselten Konfigurationszugang, der ein
Zertifikat benötigen würde.

Deine polemische Bewerkung war somit völlig unangebracht.

Gruß Ulrich
Guido Hoffmann
2014-09-19 14:57:16 UTC
Permalink
Post by Heinz Brueckner
Was mache ich nu?
Einen anderen Browser benutzen, z.B. Chrome. Seit Version 32 lässt
Firefox das Zertifikat älterer Speedports (z.B. W504V) auch als Ausnahme
nicht mehr ohne Weiteres zu.

Workaround: In den Firefox-Einstellungen unter
"Erweitert->Zertifikate->Zertifikate anzeigen->Zertifizierungsstellen"
beim Punkt "Verisign, Inc." auf "Vertrauen bearbeiten", dann Häkchen
setzen bei "Dieses Zertifikat kann Webseiten identifizieren". Nach einem
Neustart des Browsers sollte es wieder möglich sein, die Ausnahme
hinzuzufügen.

Da dem ollen Verisign-Zertifikat aber nicht ohne Grund nicht mehr
vertraut wird, würde ich lieber für die Speedport-Konfiguration auf
einen anderen Browser ausweichen.
Ulrich Zwirner
2014-09-19 21:42:50 UTC
Permalink
Post by Heinz Brueckner
Was mache ich nu?
Das ist ein bekanntes Problem der aktuellen Firefox-Version 32.x.

Einfach zum Konfigurieren des Routers einen anderen Browser nutzen, dem
beizubringen ist, das alte Zertifikat zu akzeptieren oder dem SP W 920V
eine FRITZ!Box-Firmware*) aufspielen.

Die FRITZ!Boxen wie auch die aktuellen Speedports nutzen keinen
verschlüsselten Konfigurationszugang aus dem Heimnetzwerk.

In diesem Thread:

https://forum.telekom.de/foren/read/service/internet-festnetz/speedports/speedport-900er-serie/speedport-w920v-und-firefox-32,544,11265622.html

sind div. Tipps zu Browsern enthalten.

Gruß Ulrich

*) http://rukerneltool.rainerullrich.de/
Heiko Schlenker
2014-09-19 22:23:32 UTC
Permalink
Post by Ulrich Zwirner
Post by Heinz Brueckner
Was mache ich nu?
Das ist ein bekanntes Problem der aktuellen Firefox-Version 32.x.
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.

Gruß, Heiko
Marc Haber
2014-09-19 22:50:46 UTC
Permalink
Post by Heiko Schlenker
Post by Ulrich Zwirner
Post by Heinz Brueckner
Was mache ich nu?
Das ist ein bekanntes Problem der aktuellen Firefox-Version 32.x.
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Ich finde es wirklich problematisch dass man keine Ausnahmen mehr
definieren kann.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Thomas Hochstein
2014-09-20 10:09:08 UTC
Permalink
Post by Heiko Schlenker
Firefox ist nicht das Problem.
Doch - auch.
Post by Heiko Schlenker
Es ist sogar zu begrüßen, dass abgelaufene Zertifikate nicht mehr so
einfach akzeptiert werden können.
Wäre ich der Ansicht, mich müsste ein Softwarehersteller bevormunden,
würde ich diesen Wunsch sicherlich geäußert haben.
Rupert Haselbeck
2014-09-20 11:10:13 UTC
Permalink
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches

MfG
Rupert
Heinz Brueckner
2014-09-20 20:43:28 UTC
Permalink
am Sat, 20 Sep 2014 13:10:13 +0200 schrieb Rupert Haselbeck
Post by Rupert Haselbeck
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Auszuräumen wäre das gefälligst vom Router-Lieferanten und Router-
In-Rechnung-Steller.
(Ein - im übrigen nicht funktionierender - "workaround"
der Marke "Bei den folgenden Geräten ist das Sicherheitszertifikat
abgelaufen und wird von den Browsern angemahnt.Es besteht kein
Sicherheitsproblem !", so das heutige Original-Zitat Telekom für
Firefox 18.x(!!), ist mehr Frechheit als Hilfe.)

Heinz
Rupert Haselbeck
2014-09-20 22:10:06 UTC
Permalink
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.

MfG
Rupert
Heiko Schlenker
2014-09-20 23:52:01 UTC
Permalink
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Nö, Ursache ist das abgelaufene Zertifikat und die Wirkung ist die
standardkonforme Reaktion des Browsers.

Gruß, Heiko
Rupert Haselbeck
2014-09-21 05:50:06 UTC
Permalink
Post by Heiko Schlenker
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff
auf dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm
und nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Nö, Ursache ist das abgelaufene Zertifikat und die Wirkung ist die
standardkonforme Reaktion des Browsers.
Das ist die Erklärung für Leute, welche nicht weiter denken als von 12:00
Uhr bis mittags...
Wenn ein Gerät vor mir steht, in meinem eigenen LAN, dann ist es schlicht
unsinnig, für die Verbindung zu dessen Web-Oberfläche https erzwingen zu
wollen. Natürlich ist es für einen Vertreter der reinen Lehre, welcher die
Realität gerne mal auszublenden pflegt, wunderschön, auch in dieser
Situation stets ein gültiges Zertifikat zu haben, aber dennoch: ein Browser,
der keine Ausnahmen zulässt, ist schlicht und einfach Schrott. Die Software
hat es dem Anwender zu überlassen, ob er trotz eines abgelaufenen oder sonst
ungültigen Zerifikats eine Verbindung herstellen mag.
Dieser Versuch der Bevormundung ist für den geneigten Anwender ohnehin kein
Sicherheitsmerkmal sondern ein klares Signal, einen anderen Browser zu
wählen und den nicht funktionierenden Mist von der Platte zu putzen.

MfG
Rupert
Tschador
2014-09-21 06:24:09 UTC
Permalink
Wenn ein GerÀt vor mir steht, in meinem eigenen LAN, dann ist es schlicht
unsinnig, fÌr die Verbindung zu dessen Web-OberflÀche https erzwingen zu
wollen.
Sobald es um die Übertragung sensibler Daten geht (und die
DSL-Zugangsdaten u. a. sind nun mal schÃŒtzenswert), sind verschlÃŒsselte
Verbindungen fÃŒr mich zwingend - selbst im eigenen LAN. Alles andere ist
grob fahrlÀssig.
Marc Haber
2014-09-21 07:33:57 UTC
Permalink
Post by Rupert Haselbeck
Wenn ein Gerät vor mir steht, in meinem eigenen LAN, dann ist es schlicht
unsinnig, für die Verbindung zu dessen Web-Oberfläche https erzwingen zu
wollen.
Sobald es um die Übertragung sensibler Daten geht (und die
DSL-Zugangsdaten u. a. sind nun mal schützenswert), sind verschlüsselte
Verbindungen für mich zwingend - selbst im eigenen LAN. Alles andere ist
grob fahrlässig.
Gegen welches Angriffsszenario schützt Du Dich mit https im eigenen
LAN?

Abgesehen davon, dass auch eine https-Verbindung zu einem Gerät mit
abgelaufenem Zertifikat verschlüsselt bleibt, wenn der Browser bereit
ist, das Zertifikat zu akzeptieren.

Außerdem, wer mit so einem überzogenen Sicherheitskonzept holt sich
einen Router der Telekom, for crying out loud? Immerhin gehört der
Betrieb aller Geräte mit aktueller Software ebenfalls zum Stand der
Technik, dies nicht zu tun ist unumstrittener grob fahrlässig als der
Betrieb von http mit einem abgelaufenen Zertifikat, und die Router der
Telekom werden bekanntermaßen eher über den Zaun geworfen als mit
Support verkauft.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jörg Tewes
2014-09-21 12:58:41 UTC
Permalink
Post by Marc Haber
Abgesehen davon, dass auch eine https-Verbindung zu einem Gerät mit
abgelaufenem Zertifikat verschlüsselt bleibt, wenn der Browser bereit
ist, das Zertifikat zu akzeptieren.
Allerdings erzieht man so den User dazu solcherlei Hinweise einfach
abzunicken. Ich fürchte dieses einfache abnicken der Warnung hat nicht
wenig Ärger gemacht, deswegen macht man das aktuell schwieriger.


Bye Jörg
--
"There's only one truth about war: people die. Killing is part of a
soldier's job. We can't deny it. We can only live with it and hope
the reasons for doing it are justified."
(Sheridan, "GROPOS")
Marc Haber
2014-09-21 07:30:46 UTC
Permalink
Post by Rupert Haselbeck
Dieser Versuch der Bevormundung ist für den geneigten Anwender ohnehin kein
Sicherheitsmerkmal sondern ein klares Signal, einen anderen Browser zu
wählen und den nicht funktionierenden Mist von der Platte zu putzen.
Indes, gibt es keine brauchbarere Alternative. Will man stattdessen
lieber den Browser nehmen, der alle Aktionen des Benutzers an seinen
Erzeuger meldet?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Rupert Haselbeck
2014-09-21 08:00:07 UTC
Permalink
Post by Marc Haber
Post by Rupert Haselbeck
Dieser Versuch der Bevormundung ist für den geneigten Anwender ohnehin
kein Sicherheitsmerkmal sondern ein klares Signal, einen anderen Browser
zu wählen und den nicht funktionierenden Mist von der Platte zu putzen.
Indes, gibt es keine brauchbarere Alternative. Will man stattdessen
lieber den Browser nehmen, der alle Aktionen des Benutzers an seinen
Erzeuger meldet?
Ich glaube kaum, dass der durchschnilliche Anwender diese Erwägungen
anstellen wird. Tut er es dennoch, so wird er häufig zu dem Ergebnis kommen,
dass er keine Wahl hat, weil der dysfunktionale Schrott ihn daran hindert,
das zu tun, was er tun will.
Soweit die Vertreter der reinen Lehre also glauben, man dürfe dem doofen
Anwender nicht die Möglichkeit bieten, selber über Ausnahmen zu befinden,
wird man das genaue Gegenteil des angestrebten Ziels erreichen. Kaum ein
Anwender wird sich solcherart Bevormundung gefallen lassen (wenn er die Wahl
hat). Man mag sich fragen, wie man als Entwickler dieses Übermass an
Arroganz aufbringen kann, dem Anwender die eigene Entscheidungsmöglichkeit
vorenthalten zu wollen. Zu derartigem Unsinn hat sich ja selbst Winzigweich
bisher nicht hinreissen lassen

MfG
Rupert
Marc Haber
2014-09-21 09:07:18 UTC
Permalink
Post by Rupert Haselbeck
Man mag sich fragen, wie man als Entwickler dieses Übermass an
Arroganz aufbringen kann, dem Anwender die eigene Entscheidungsmöglichkeit
vorenthalten zu wollen. Zu derartigem Unsinn hat sich ja selbst Winzigweich
bisher nicht hinreissen lassen
Die Mozilla Foundation erleidet dasselbe Problem wie viele andere
Open-Source-Projekte: Hat man mal eine gewisse Userbasis erreicht,
dass die Supportrequests der User nur noch vorgefiltert bei den
Entwicklern ankommen, verlieren diese die Bodenhaftung. Und da es kein
Produktmanagement gibt, das die abgehobenen Entwickler wieder
einfängt...

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jörg Tewes
2014-09-21 13:24:41 UTC
Permalink
Post by Rupert Haselbeck
Post by Marc Haber
Post by Rupert Haselbeck
Dieser Versuch der Bevormundung ist für den geneigten Anwender ohnehin
kein Sicherheitsmerkmal sondern ein klares Signal, einen anderen Browser
zu wählen und den nicht funktionierenden Mist von der Platte zu putzen.
Indes, gibt es keine brauchbarere Alternative. Will man stattdessen
lieber den Browser nehmen, der alle Aktionen des Benutzers an seinen
Erzeuger meldet?
Ich glaube kaum, dass der durchschnilliche Anwender diese Erwägungen
anstellen wird. Tut er es dennoch, so wird er häufig zu dem Ergebnis kommen,
dass er keine Wahl hat, weil der dysfunktionale Schrott ihn daran hindert,
das zu tun, was er tun will.
Also als dysfunktionalen Schrott hätte ich den Speedport nun nicht
bezeichnen wollen. :-)

Aber warum die Telekom einen Router mit Zertifikat ausliefert, wenn sie
doch der Meinung ist https im eigenen Netz wäre so überflüssig wie ein
Kropf erschließt sich mir irgendwie nicht.

Der durchschnittliche Anwender hingegen läßt seinen Router einmal
einrichten und dann steht er irgendwo hinterm Schreibtisch und läuft vor
sich hin. Und wenn er denn mal ran muß nimmt er sowieso den IE oder den
Chrome. Letzterer inzwischen deutlich öfter als Firefox oder IE.


Bye Jörg
--
"Mr. Garibaldi, a moment of joy in a lifetime of sorrow. Take it
while you can."
(Londo, "Acts of Sacrifice")
Ulrich Zwirner
2014-09-21 14:11:44 UTC
Permalink
Post by Jörg Tewes
Aber warum die Telekom einen Router mit Zertifikat ausliefert, wenn sie
doch der Meinung ist https im eigenen Netz wäre so überflüssig wie ein
Kropf erschließt sich mir irgendwie nicht.
Die Telekom lieferte diesen Router schon vor Jahren aus. Seit der
aktuellen Routergeneration wird auf Zertifikate innerhalb des
Heimnetzwerkes verzichtet. Wahrscheinlich, weil der "Ärger" mit der
Pflege der Zertifikate zukünftig vermieden werden soll.

Als der SP W 920V auf den Markt kam, hätte es von der einen oder anderen
Seite sicherlich einen Shitstorm gegeben, wenn auf Verschlüsselung
innerhalb des eigenen Netzwerkesverzichtet worden wäre - was heute bei
Consumer-Netzwerkkomponenten überwiegend der Fall ist.

Gruß Ulrich
Hans-Bernhard Bröker
2014-09-21 11:07:30 UTC
Permalink
Post by Rupert Haselbeck
Wenn ein Gerät vor mir steht, in meinem eigenen LAN, dann ist es schlicht
unsinnig, für die Verbindung zu dessen Web-Oberfläche https erzwingen zu
wollen.
Und wenn das selbe Gerät im Nebenraum steht, in deinem (vermeintlich)
eigenen _W_LAN, dann sieht die Sache schon wieder völlig anders aus.
Post by Rupert Haselbeck
Die Software
hat es dem Anwender zu überlassen, ob er trotz eines abgelaufenen oder sonst
ungültigen Zerifikats eine Verbindung herstellen mag.
Dieses Argument basiert auf der Annahme, dass der Benutzer tatsächlich
weiß was er da tut. Diese Annahme ist um einige Größenordnungen
häufiger falsch als wahr. So eine Annahme ist daher, wenn es auch nur
ansatzweise um Datensicherheit gehen soll, nur mit einem Urteil zu
belegen: _grob_fahrlässig_.
Marc Haber
2014-09-21 18:16:40 UTC
Permalink
Post by Hans-Bernhard Bröker
Post by Rupert Haselbeck
Wenn ein Gerät vor mir steht, in meinem eigenen LAN, dann ist es schlicht
unsinnig, für die Verbindung zu dessen Web-Oberfläche https erzwingen zu
wollen.
Und wenn das selbe Gerät im Nebenraum steht, in deinem (vermeintlich)
eigenen _W_LAN, dann sieht die Sache schon wieder völlig anders aus.
Warum, verwendet man für das WLAN kein WPA2 mit hinreichend langem
Passphrase?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marc Haber
2014-09-21 07:29:48 UTC
Permalink
Post by Heiko Schlenker
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Nö, Ursache ist das abgelaufene Zertifikat und die Wirkung ist die
standardkonforme Reaktion des Browsers.
In welchem Standard steht das? Und wenn es wirklich irgendwo steht, in
welchen Standard steht, dass es keine Konfigurationsoption zur
bewussten Verletzung des Standards gibt?

Sicherheit ist immer ein Kompromiss zwischen Sicherheit und
Benutzbarkeit, und wenn man den Regler zu weit nach Sicherheit
schiebt, kann man den Rechner gleich in Beton eingießen, was obendrein
noch Strom spart.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Heiko Schlenker
2014-09-21 11:15:09 UTC
Permalink
Post by Marc Haber
Post by Heiko Schlenker
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Nö, Ursache ist das abgelaufene Zertifikat und die Wirkung ist die
standardkonforme Reaktion des Browsers.
In welchem Standard steht das?
Über "fatale Fehlschläge" sagt beispielsweise 'RFC 5246 - The
Transport Layer Security (TLS) Protocol Version 1.2':
| Alert messages with a level of fatal result in the immediate
| termination of the connection.

Der Fehlercode 'sec_error_ca_cert_invalid' dürfte i.d.R. als fatal
eingestuft werden, siehe z.B. Chromium-Sourcecode, ssl3con.c, Routine
ssl3_SendAlertForCertError()

Der RFC sagt aber auch in u.a. Abschnitt '7.2.2. Error Alerts', dass
benutzerseitige Ausnahmen zulässig sind, damit die Kommunikation trotz
z.B. eines abgelaufenen Zertifikats weitergehen kann. Der RFC fordert
allerdings nicht, dass Ausnahmen möglich gemacht werden müssen, AFAIK.
Post by Marc Haber
Sicherheit ist immer ein Kompromiss zwischen Sicherheit und
Benutzbarkeit,
Bisher bestand der Kompromiss darin, dass der Benutzer den Kram
ziemlich einfach wegklicken konnte. Der Fokus lag auf Bequemlichkeit,
statt auf Sicherheit. Nun hat sich der Fokus verschoben, in Richtung
Sicherheit ...

Gruß, Heiko
Andreas M. Kirchwitz
2014-09-21 03:56:03 UTC
Permalink
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Wenn ein Browser eine Verbindung mit abgelaufenem oder aus anderem
Grund ungültigen Zertifikat zurückweist, handelt er zunächst korrekt.
Der ursächliche Fehler liegt unzweifelhaft beim Speedport der Telekom.

Angesichts vieler Konfigurationsprobleme in der realen Welt, ist es
allerdings in höchstem Maße dämlich, wenn ein Browser keine Ausnahme
zulässt. Dicker Minuspunkt für Firefox.

Die Speedports der Telekom sind praktisch, wenn man sich mit der
Materie (noch) nicht auskennt und bei anfänglichen Problemen alle
Schuld auf die Telekom schieben kann. Darum mietet man Speedports.
Schnell merkt man, dass die Dinger wenig können und die Telekom
weder Bugs beseitigt noch Features nachrüstet. Immerhin kann man
bei der Telekom einen anderen Router kaufen, sobald man sich das
zutraut, und dort seine Zugangsdaten eingeben. Nicht alle Anbieter
erlauben freie Router-Wahl.

Seinen Browser wechselt man nicht so schnell. Das ist ja schon eine
Frage der Lebenseinstellung. Beim Router dürften die meisten eher
leidenschaftslos sein, jedenfalls wenn die Ausgangssituation ein
Speedport ist. (Beim Wechsel von einer Fritzbox zu einem anderen
Gerät könnte ich Vorbehalte hingegen verstehen.)

Grüße, Andreas
Hans-Bernhard Bröker
2014-09-21 11:02:44 UTC
Permalink
Post by Rupert Haselbeck
Post by Heinz Brueckner
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Selbstverständlich wird das vom Browser verursacht, wenn der versucht,
schlauer zu sein als sein Benutzer.
Und der Beschluss, dieses Problem einfach unter den Teppich zu kehren,
zeugt von einem Benutzer, der schlauer zu sein glaubt als die komplette
Industrie, die sich um die Sicherheit von verschlüsselten
Internet-Verbindungen kümmert. Nun, solche Benutzer gibt es bestimmt,
aber sie sind selten genug, dass man für sie keine Ausnahmen einplanen
sollte bei einer Software, die praktisch jeder benutzt. Die paar echten
Experten finden auch ohne Unterstützung durch den Browser heraus, wie
sie um diese Schranke herumkommen.

Zertifikate haben Ablaufdaten nicht zum Spaß. Auch öffentliche CRLs
wurden nicht erfunden, um Browserhersteller oder Zertifizierungsstellen
zu stressen, sondern weil sie nötig sind. Daher nein: ein Browser, der
sich bei der Ablehnung offenbar ungültiger Zertifikate stur stellt, ist
kein Problem, sondern eine Lösung.

Ein zeitlich auslaufendes Zertifikat rechtzeitig(!) zu aktualisieren,
ist keine Nettigkeit seitens des Routerherstellers, mit deren Ausführung
er sich gar noch als Service-orientiert profilieren könnte, sondern
seine verdammte Pflicht und Schuldigkeit. Und das erst recht bei
Mietgeräten. Wofür, wenn nicht für so einen Mindest-Service, glaubt man
denn wohl, da Miete verlangen zu dürfen?
Marc Haber
2014-09-21 07:25:49 UTC
Permalink
Post by Heinz Brueckner
am Sat, 20 Sep 2014 13:10:13 +0200 schrieb Rupert Haselbeck
Post by Rupert Haselbeck
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Anderherum: Wer vom Hersteller eines Gerätes (hier: Mein Router, für den
monatl. kassiert wird) durch ein abgelaufenes "Zertifikat" vom Zugriff auf
dasselbe abgeschnitten wird, der hat ein Problem, das nicht von ihm und
nicht von seinem Browser verursacht wurde.
Das Problem ist der Browser, dem man fünfzehn Jahre lang beibringen
konnte, ein abgelaufenes Zertifikat zu ignorieren, der dann begann,
bei abgelaufenen Zertifikaten nicht abstellbar über dieses zu meckern
und der in seiner neuesten Version nicht mehr bereit ist, eine -
technisch völlig korrekte und funktionierende - Webseite anzuzeigen,
weil ihr Zertifikat abgelaufen ist.
Post by Heinz Brueckner
(Ein - im übrigen nicht funktionierender - "workaround"
der Marke "Bei den folgenden Geräten ist das Sicherheitszertifikat
abgelaufen und wird von den Browsern angemahnt.Es besteht kein
Sicherheitsproblem !", so das heutige Original-Zitat Telekom für
Firefox 18.x(!!), ist mehr Frechheit als Hilfe.)
Was nichts daran ändert, dass die Aussage der Telekom völlig richtig
ist. Firefox 18 ist IIRC die aktuelle Version mit Long-Term-Support,
sich auf diesen zu beziehen finde ich so verkehrt nicht.

Ein Sicherheitsproblem besteht durch ein abgelaufenes Zertifikat eines
Gerätes, das sich zuverlässig im selben Haushalt wie der Client
befindet, jedenfalls nur dann, wenn das interne Netz bereits
kompromittiert ist.

Nichtsdestotrotz sollte sich die Telekom ob des "Supports" für seine
Geräte schämen. Das kann inzwischen jeder Chinese besser[1]

Grüße
Marc

[1] Ok, Huawei und Samsung[2] nicht.
[2] kein Chinese
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Stefan Kanthak
2014-09-21 11:59:59 UTC
Permalink
[...]
Post by Marc Haber
Post by Heinz Brueckner
(Ein - im übrigen nicht funktionierender - "workaround"
der Marke "Bei den folgenden Geräten ist das Sicherheitszertifikat
abgelaufen und wird von den Browsern angemahnt.Es besteht kein
Sicherheitsproblem !", so das heutige Original-Zitat Telekom für
Firefox 18.x(!!), ist mehr Frechheit als Hilfe.)
Was nichts daran ändert, dass die Aussage der Telekom völlig richtig
ist. Firefox 18 ist IIRC die aktuelle Version mit Long-Term-Support,
sich auf diesen zu beziehen finde ich so verkehrt nicht.
Bei Firefox heisst das "extended service release". Dessen aktuelle
Version ist Firefox 31.1.0ESR, und diese erlaubt noch, abgelaufene
Zertifikate zu ignorieren.
Dummerweise verwendet ONU typischerweise die normale Version, nicht
die ESR.

Zudem sind die Entwickler von Mozilla inkonsequent: einerseits wollen
sie Sicherheit erzwingen, andererseits verwenden sie unter
"Ausnahmen fuer Zertifikate hinzufuegen" die unsichere Voreinstellung
"[x] Ausnahmen dauerhaft hinzufuegen".
Post by Marc Haber
Ein Sicherheitsproblem besteht durch ein abgelaufenes Zertifikat eines
Gerätes, das sich zuverlässig im selben Haushalt wie der Client
befindet, jedenfalls nur dann, wenn das interne Netz bereits
kompromittiert ist.
Korrekt.
Aber: der Benutzer wird damit auch dazu verleitet, solche Warnungen
"wegzuklicken".
Post by Marc Haber
Nichtsdestotrotz sollte sich die Telekom ob des "Supports" für seine
Geräte schämen.
AMEN!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Heiko Schlenker
2014-09-20 20:49:20 UTC
Permalink
Post by Rupert Haselbeck
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Und wozu benötigt er ungültige Zertifikate? ;-)

Sicherheit fängt im Kopf an. Ein Großteil der Sicherheitsprobleme ist
auf ein laxes Sicherheitsbewusstsein zurückzuführen.

Gruß, Heiko
Michael Landenberger
2014-09-20 22:07:22 UTC
Permalink
Post by Heiko Schlenker
Sicherheit fängt im Kopf an. Ein Großteil der Sicherheitsprobleme ist
auf ein laxes Sicherheitsbewusstsein zurückzuführen.
Die eigenen Geräte für vertrauenswürdig zu halten ist IMO kein Zeichen für zu
laxes Sicherheitsbewusstsein.

Hätte ich das Problem des OP, würde bei mir Firefox augenblicklich von der
Platte fliegen und durch einen Browser ersetzt, der Ausnahmeregelungen
zulässt.

Gruß

Michael
Heinz Brueckner
2014-09-20 22:16:37 UTC
Permalink
am Sun, 21 Sep 2014 00:07:22 +0200 schrieb "Michael Landenberger"
Post by Michael Landenberger
Post by Heiko Schlenker
Sicherheit fängt im Kopf an. Ein Großteil der Sicherheitsprobleme ist
auf ein laxes Sicherheitsbewusstsein zurückzuführen.
Die eigenen Geräte für vertrauenswürdig zu halten ist IMO kein Zeichen für zu
laxes Sicherheitsbewusstsein.
Hätte ich das Problem des OP, würde bei mir Firefox augenblicklich von der
Platte fliegen und durch einen Browser ersetzt, der Ausnahmeregelungen
zulässt.
Ist das nicht die falsche Baustelle? (Ich bin hierzu "OP")
Ein Router-Lieferant, der a) den Zugang für den Käufer per "Zertifikat"
absichert und dieses trotz weiterer Miet-Berechnung sang- und klanglos
ablaufen läßt - DER sollte "rausfliegen". Dass dieser Lieferant dann, b),
noch den Rat gibt, das abgelaufene Zertifikat schlicht zu übergehen, beweist
damit doch nur, dass diese vorgebliche Sicherheit von vornherein reine
Spiegelfechterei ist.

Heinz
Michael Landenberger
2014-09-20 23:13:59 UTC
Permalink
Post by Heinz Brueckner
am Sun, 21 Sep 2014 00:07:22 +0200 schrieb "Michael Landenberger"
Post by Michael Landenberger
Hätte ich das Problem des OP, würde bei mir Firefox augenblicklich von der
Platte fliegen und durch einen Browser ersetzt, der Ausnahmeregelungen
zulässt.
Ist das nicht die falsche Baustelle? (Ich bin hierzu "OP")
Ein Router-Lieferant, der a) den Zugang für den Käufer per "Zertifikat"
absichert und dieses trotz weiterer Miet-Berechnung sang- und klanglos
ablaufen läßt - DER sollte "rausfliegen".
Im Prinzip richtig, aber ein Browser lässt sich leichter ersetzen als ein
Router.

Gruß

Michael
Marc Haber
2014-09-21 07:38:00 UTC
Permalink
Post by Michael Landenberger
Post by Heinz Brueckner
Ist das nicht die falsche Baustelle? (Ich bin hierzu "OP")
Ein Router-Lieferant, der a) den Zugang für den Käufer per "Zertifikat"
absichert und dieses trotz weiterer Miet-Berechnung sang- und klanglos
ablaufen läßt - DER sollte "rausfliegen".
Im Prinzip richtig, aber ein Browser lässt sich leichter ersetzen als ein
Router.
Ich würde eher meinen Router ersetzen als meinen Browser. An einem
Browserwechsel hängt ein Rattenschwanz an neuen Plugins, neuen
Anomalitäten und neuen Inkompatibilitäten.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Michael Landenberger
2014-09-21 07:49:50 UTC
Permalink
Post by Marc Haber
Post by Michael Landenberger
Im Prinzip richtig, aber ein Browser lässt sich leichter ersetzen als ein
Router.
Ich würde eher meinen Router ersetzen als meinen Browser. An einem
Browserwechsel hängt ein Rattenschwanz an neuen Plugins, neuen
Anomalitäten und neuen Inkompatibilitäten.
Ich bin (aus anderen als den hier diskutierten Gründen) von Firefox auf Chrome
umgestiegen. So aufwendig war das nicht. Ad- und Scriptblocker gibt es auch
für Chrome, ebenso Plugins für die anderen, von mir benötigten Funktionen.

Meinen Router auszutauschen wäre erheblich aufwendiger gewesen. Mal abgesehen
davon, dass es gar nicht so einfach ist, für eine Fritzbox adäquaten und
trotzdem bezahlbaren Ersatz aufzutreiben.

Gruß

Michael
Ulrich Zwirner
2014-09-21 08:52:25 UTC
Permalink
Post by Marc Haber
Ich würde eher meinen Router ersetzen als meinen Browser. An einem
Browserwechsel hängt ein Rattenschwanz an neuen Plugins, neuen
Anomalitäten und neuen Inkompatibilitäten.
Ist der Festplattenspeicherplatz eines PCs ... heute so klein, dass mann
oder frau es sich nicht leisten können, den Browser seiner/ihrer Wahl
zum Surfen&Co zu nutzen und für die Konfiguration eines veralteten
Routers einen zweiten Browser klickbereit zu halten?

Ich verstehe diese ganze Diskussion hier und an anderer Stelle nicht:

Beim Smartphone, beim PC, der Grafikkarte, dem Betriebssystem ... mussst
es immer das Neueste sein, beim Router oder Modem soll das älteste
Modell auch noch neue Standards wie Annex J unterstützen, wenn nicht ist
das böse Abzocke und Schikane des Anbieters ...

Gruß Ulrich
Marc Haber
2014-09-21 09:07:58 UTC
Permalink
Post by Ulrich Zwirner
Post by Marc Haber
Ich würde eher meinen Router ersetzen als meinen Browser. An einem
Browserwechsel hängt ein Rattenschwanz an neuen Plugins, neuen
Anomalitäten und neuen Inkompatibilitäten.
Ist der Festplattenspeicherplatz eines PCs ... heute so klein, dass mann
oder frau es sich nicht leisten können, den Browser seiner/ihrer Wahl
zum Surfen&Co zu nutzen und für die Konfiguration eines veralteten
Routers einen zweiten Browser klickbereit zu halten?
Das ist nur lästig.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Heiko Schlenker
2014-09-21 11:22:03 UTC
Permalink
Post by Marc Haber
Post by Ulrich Zwirner
Post by Marc Haber
Ich würde eher meinen Router ersetzen als meinen Browser. An einem
Browserwechsel hängt ein Rattenschwanz an neuen Plugins, neuen
Anomalitäten und neuen Inkompatibilitäten.
Ist der Festplattenspeicherplatz eines PCs ... heute so klein, dass mann
oder frau es sich nicht leisten können, den Browser seiner/ihrer Wahl
zum Surfen&Co zu nutzen und für die Konfiguration eines veralteten
Routers einen zweiten Browser klickbereit zu halten?
Das ist nur lästig.
Naja, wie oft wird denn die Routerkonfiguration angefasst, damit die
/vorübergehende/ Lösung lästig werden kann? :-)

Der typische DSL-Kunde hat mehrere Browser zur Auswahl. Wegen der
Zwangsbeglückung des jeweiligen Betriebssystemherstellers, ist
eigentlich immer eine Alternative zum vom Benutzer bevorzugten Browser
zur Hand.

Gruß, Heiko
Achim Peters
2014-09-20 23:03:18 UTC
Permalink
Post by Heinz Brueckner
am Sun, 21 Sep 2014 00:07:22 +0200 schrieb "Michael Landenberger"
Post by Michael Landenberger
Post by Heiko Schlenker
Sicherheit fängt im Kopf an. Ein Großteil der Sicherheitsprobleme ist
auf ein laxes Sicherheitsbewusstsein zurückzuführen.
Die eigenen Geräte für vertrauenswürdig zu halten ist IMO kein Zeichen für zu
laxes Sicherheitsbewusstsein.
Hätte ich das Problem des OP, würde bei mir Firefox augenblicklich von der
Platte fliegen und durch einen Browser ersetzt, der Ausnahmeregelungen
zulässt.
Ist das nicht die falsche Baustelle? (Ich bin hierzu "OP")
Ein Router-Lieferant, der a) den Zugang für den Käufer per "Zertifikat"
absichert und dieses trotz weiterer Miet-Berechnung sang- und klanglos
ablaufen läßt - DER sollte "rausfliegen". Dass dieser Lieferant dann, b),
noch den Rat gibt, das abgelaufene Zertifikat schlicht zu übergehen, beweist
damit doch nur, dass diese vorgebliche Sicherheit von vornherein reine
Spiegelfechterei ist.
ACK, dann obendrein im lokalen Netz noch, falls wie angegeben, https
(wie Rupert schon anmerkte, unnötigerweise) zu erzwingen,

| macht automatisch https://)

ist broken by design.

Bye
Achim
Marc Haber
2014-09-21 07:37:12 UTC
Permalink
Post by Heinz Brueckner
Ein Router-Lieferant, der a) den Zugang für den Käufer per "Zertifikat"
absichert und dieses trotz weiterer Miet-Berechnung sang- und klanglos
ablaufen läßt - DER sollte "rausfliegen".
Dass man keine Router von der Telekom kauft oder mietet, ist
unbenommen unstrittig.
Post by Heinz Brueckner
Dass dieser Lieferant dann, b),
noch den Rat gibt, das abgelaufene Zertifikat schlicht zu übergehen, beweist
damit doch nur, dass diese vorgebliche Sicherheit von vornherein reine
Spiegelfechterei ist.
Vor dem Hintergrund der politisch gewollten und daher durch den
technischen Arm der Telekom nicht zu ändernden Nichtversorgung mit
Updates ist der Hinweis völlig angemessen, denn er erlaubt wieder den
Zugriff auf den Router.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Michael Landenberger
2014-09-21 07:50:46 UTC
Permalink
Post by Marc Haber
Dass man keine Router von der Telekom kauft oder mietet, ist
unbenommen unstrittig.
Es sei denn, der Hersteller heißt "AVM" ;-)

Gruß

Michael
Marc Haber
2014-09-21 09:09:06 UTC
Permalink
Post by Michael Landenberger
Post by Marc Haber
Dass man keine Router von der Telekom kauft oder mietet, ist
unbenommen unstrittig.
Es sei denn, der Hersteller heißt "AVM" ;-)
Das ist von ca 20 verschiedenen Modellen der T genau einmal der Fall
gewesen. Das sehe ich eher als einmaligen Betriebsunfall der
T-Einkaufspolitik.

Grüße
Marc, der seit dem automatisch überall 01033 vorwählenden schnurlosen
Telefon seine Finger konsequent von allen T-gebrandeten Endgeräten
lässt
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Ulrich Zwirner
2014-09-21 11:26:42 UTC
Permalink
Post by Marc Haber
Post by Michael Landenberger
Post by Marc Haber
Dass man keine Router von der Telekom kauft oder mietet, ist
unbenommen unstrittig.
Es sei denn, der Hersteller heißt "AVM" ;-)
Das ist von ca 20 verschiedenen Modellen der T genau einmal der Fall
gewesen. Das sehe ich eher als einmaligen Betriebsunfall der
T-Einkaufspolitik.
Na, das war schon mehr als *einmal* der Fall:

https://de.wikipedia.org/w/index.php?title=Speedport&stable=0&redirect=no

;-)

SCNR und Gruß, Ulrich
Michael Landenberger
2014-09-21 12:43:39 UTC
Permalink
Post by Ulrich Zwirner
Post by Marc Haber
Post by Michael Landenberger
Es sei denn, der Hersteller heißt "AVM" ;-)
Das ist von ca 20 verschiedenen Modellen der T genau einmal der Fall
gewesen. Das sehe ich eher als einmaligen Betriebsunfall der
T-Einkaufspolitik.
https://de.wikipedia.org/w/index.php?title=Speedport&stable=0&redirect=no
Hier sind alle AVM-Speedports unter sich:
<http://www.wehavemorefun.de/fritzbox/Telekom-Derivate>

Und ja, es waren deutlich mehr als nur einer ;-)

Bei mir werkeln ein gefritzter W920V und ein ebenfalls gefritzter W701V. Beide
Geräte sind von AVM und funktionieren bestens. Ein Zertifikat-Problem haben
sie allerdings auch, aber nur bei der Fernwartung via DynDNS. Da passt das
Zertifikat nicht zur Domain.

Gruß

Michael
Marc Haber
2014-09-21 07:35:21 UTC
Permalink
Post by Heiko Schlenker
Post by Rupert Haselbeck
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Und wozu benötigt er ungültige Zertifikate? ;-)
Ein abgelaufenes Zertifikat ist nicht ungültiger als es vor seinem
Ablauf war, und es ermöglicht bei einem vernünftig konfigurierbaren
Browser auch nach seinem Ablauf die Verschlüsselung der Kommunikation.

Grüße
Marc, sich wieder der Wand zuwendend
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jörg Tewes
2014-09-20 23:03:59 UTC
Permalink
Post by Rupert Haselbeck
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Allerdings war die Telekom wohl der Meinung, der Kunde bräuchte so was.
Ansonsten hätten sie wohl auf allen Routern von Anfang an keins
installiert, und die Vorgehensweise in der Anleitung beschrieben.

Jetzt nachdem sie die Geräte nicht mehr supporten wollen diese Anleitung
rauszugeben....

Bye Jörg
--
Märchen erzählen Kindern nicht, daß Drachen existieren. Kinder
wissen um deren Existenz. Märchen erzählen Kindern, daß man
Drachen töten kann.
(Gilbert Keith Chesterton)
Marc Haber
2014-09-21 07:39:47 UTC
Permalink
Post by Jörg Tewes
Post by Rupert Haselbeck
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Allerdings war die Telekom wohl der Meinung, der Kunde bräuchte so was.
Wenn ich richtig beurteile, wie sowas im Produktmanagement läuft, dann
war das eher "die ZEITUNG hat neulich im Test bemängelt, dass unser
Vorgängermodell kein https kann, also brauchen wir https", ohne die
möglichen Folgen zu bedenken.

Wie gut ein neues Gerät mit neuer Software versorgt wird, lässt sich
kurz nach dessen Markteinführung leider nicht testen. Also kann man
dort bedenkenlos das Geld, was man für https investieren musste,
wieder wegsparen.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jörg Tewes
2014-09-21 10:52:38 UTC
Permalink
Post by Marc Haber
Post by Jörg Tewes
Post by Rupert Haselbeck
Post by Heiko Schlenker
Firefox ist nicht das Problem. Es ist sogar zu begrüßen, dass
abgelaufene Zertifikate nicht mehr so einfach akzeptiert werden
können.
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Allerdings war die Telekom wohl der Meinung, der Kunde bräuchte so was.
Wenn ich richtig beurteile, wie sowas im Produktmanagement läuft, dann
war das eher "die ZEITUNG hat neulich im Test bemängelt, dass unser
Vorgängermodell kein https kann, also brauchen wir https", ohne die
möglichen Folgen zu bedenken.
Genauso meinte ich das.
Post by Marc Haber
Wie gut ein neues Gerät mit neuer Software versorgt wird, lässt sich
kurz nach dessen Markteinführung leider nicht testen. Also kann man
dort bedenkenlos das Geld, was man für https investieren musste,
wieder wegsparen.
Jepp.


Bye Jörg
--
"Mollari, the grievances between my people and yours will never be
resolved except with Centauri blood. Accept that as a given."
"Well, its good to know we're appreciated."
(G'Kar and Londo, "Revelations")
Andreas M. Kirchwitz
2014-09-21 16:59:20 UTC
Permalink
Post by Rupert Haselbeck
Wer glaubt, ein gültiges Zertifikat zu benötigen, wenn er sich mit einem
Gerät in seinem Haus, meist sogar im selben Zimmer, unterhält, der hat ein
ganz anderes Problem, jedenfalls kein technisches
Heutzutage will sich jedes Gerät ins Heim-Netz einklinken. Nicht nur
PCs und Notebooks, sondern auch Smartphones, Fernseher, Spielekonsolen,
Kühlschränke, Heizungsanlagen, Stromzähler... der Zoo ist kaum noch
überschaubar, und die meisten Geräte sind kinderleicht zu hacken.

Es war schon immer eine schlechte Idee, seinem LAN blind zu vertrauen,
aber inzwischen sollte auch dem Laien klar sein, dass es in Wahrheit
kein "drinnen" und "draußen" mehr gibt, sondern jedes Gerät sich selbst
bestmöglich schützen muss und Kommunikation stets verschlüsselt erfolgen
sollte, selbst im vermeintlich sicheren LAN im gleichen Zimmer.

Außerdem haben auf Geräte mit Fernwartung die Hersteller bzw. Provider
prinzipiell vollen Zugriff, das heißt, der Spion sitzt bereits im LAN.

Grüße, Andreas
Sascha Albert
2014-09-20 09:04:05 UTC
Permalink
Post by Heinz Brueckner
Hallo erst mal,
---
Fehler: Gesicherte Verbindung fehlgeschlagen
[...]
Post by Heinz Brueckner
Was mache ich nu?
Hallo,

Meine Lösung:
Um in das Konfigurationsmenü zu kommen benutze ich eine alte Version
eines portablen Firefox. Zwar gibt es auch hier Warnungen wegen dem
Abgelaufenen Zertifikat, man kann aber trotzdem auf die Seite zugreifen.

Mit freundlichen Grüßen
Sascha Albert
--
Rämmelken, Rämmelken rüssele di!
Biste von Gott kumm tau mi! Biste owwer von'n Düwel goah von mi!
Rainer Ullrich
2014-09-20 13:16:23 UTC
Permalink
Hallo Heinz,
Post by Heinz Brueckner
---
Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit speedport.ip aufgetreten. Das
Aussteller-Zertifikat ist ungültig. (Fehlercode: sec_error_ca_cert_invalid)
Die Website kann nicht angezeigt werden, da die Authentizität der
erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses
Problem zu informieren.
---
Was mache ich nu?
das was der Router-Vertreiber empfiehlt:

Abhilfe bei der Zertifikats-Warnmeldung
<http://hilfe.telekom.de/dlp/eki/downloads/Speedport/zertifikat_speedports.pdf>

Happy computing!
***@iner
--
Universal-Tool für Fritzboxen ......... http://rukerneltool.rainerullrich.de
Mit Ihrem Samsung TV kommunizieren .... http://samsung.rainerullrich.de
Sascha Albert
2014-09-20 13:26:54 UTC
Permalink
Post by Rainer Ullrich
Hallo Heinz,
Post by Heinz Brueckner
---
Fehler: Gesicherte Verbindung fehlgeschlagen
[...]
Post by Rainer Ullrich
Abhilfe bei der Zertifikats-Warnmeldung
<http://hilfe.telekom.de/dlp/eki/downloads/Speedport/zertifikat_speedports.pdf>
Genau die dort beschriebene Vorgehensweise ist beim Firefox 32 nicht
mehr möglich.

Mit freundlichen Grüßen
Sascha Albert
--
Rämmelken, Rämmelken rüssele di!
Biste von Gott kumm tau mi! Biste owwer von'n Düwel goah von mi!
Rainer Ullrich
2014-09-20 17:50:42 UTC
Permalink
Post by Sascha Albert
Post by Rainer Ullrich
Post by Heinz Brueckner
---
Fehler: Gesicherte Verbindung fehlgeschlagen
[...]
Post by Rainer Ullrich
Abhilfe bei der Zertifikats-Warnmeldung
<http://hilfe.telekom.de/dlp/eki/downloads/Speedport/zertifikat_speedports.pdf>
Genau die dort beschriebene Vorgehensweise ist beim Firefox 32 nicht
mehr möglich.
Guckst Du:
<https://wiki.mozilla.org/CA:UserCertDB#Changing_Root_Certificate_Trust_Bit_Settings>
und/oder
<http://www.camp-firefox.de/forum/viewtopic.php?p=933911#p933911>

Happy computing!
***@iner
--
Universal-Tool für Fritzboxen ......... http://rukerneltool.rainerullrich.de
Mit Ihrem Samsung TV kommunizieren .... http://samsung.rainerullrich.de
Heinz Brueckner
2014-09-20 20:44:57 UTC
Permalink
am Sat, 20 Sep 2014 19:50:42 +0200 schrieb Rainer Ullrich
Post by Rainer Ullrich
Post by Heinz Brueckner
---
Fehler: Gesicherte Verbindung fehlgeschlagen
[...]
<http://www.camp-firefox.de/forum/viewtopic.php?p=933911#p933911>
Dort stehts: Ich habe, unverständig wie ich bin, bei
Extras - Einstellungen - Zertifikate ; Zertifikate anzeigen

alle Verisign-Einträge markiert und jeweils einen Haken
Vertrauen bearbeiten - "...kann websites identifizieren"
gesetzt, soweit nicht schon dran.

Firefox neu starten und der Zugriff zum Router funktioniert.
Don't ask me why.
Zwecks Risiken und Nebenwirkungen fragen Sie Ihren PC-Doktor
oder Informatiker...

Heinz
Frank Schletz
2014-09-21 16:58:36 UTC
Permalink
Post by Heinz Brueckner
Dort stehts: Ich habe, unverständig wie ich bin, bei
Extras - Einstellungen - Zertifikate ; Zertifikate anzeigen
alle Verisign-Einträge markiert und jeweils einen Haken
Vertrauen bearbeiten - "...kann websites identifizieren"
gesetzt, soweit nicht schon dran.
Hm, jetzt wollte ich das mal selber sehen und finde
kein "Vertrauen bearbeiten" und kein "kann websites identifizieren"
Firefox V31 braucht das wohl nicht und diese Methode gibt
es erst ab V32?
Tschador
2014-09-21 18:28:43 UTC
Permalink
Post by Frank Schletz
Dort stehts: Ich habe, unverstÀndig wie ich bin, bei
Extras - Einstellungen - Zertifikate ; Zertifikate anzeigen
alle Verisign-EintrÀge markiert und jeweils einen Haken
Vertrauen bearbeiten - "...kann websites identifizieren"
gesetzt, soweit nicht schon dran.
Hm, jetzt wollte ich das mal selber sehen und finde
kein "Vertrauen bearbeiten" und kein "kann websites identifizieren"
Firefox V31 braucht das wohl nicht und diese Methode gibt
es erst ab V32?
Nein, das gibt es schon sehr lange:

Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate -> Zertifikate
anzeigen -> Zertifizierungsstellen

Lesen Sie weiter auf narkive:
Suchergebnisse für 'speedport.ip (Zertifikat)' (Fragen und Antworten)
6
Antworten
koennt ihr mir fuer speedport helfen?
gestartet 2013-08-27 02:55:38 UTC
internet
Loading...