End of Support für FRITZ!Box 6590 & FRITZ!Repeater 310

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
robert_s
Insider
Beiträge: 7262
Registriert: 30.11.2010, 15:09
Bundesland: Berlin

Re: End of Support für FRITZ!Box 6590 & FRITZ!Repeater 310

Beitrag von robert_s »

Flole hat geschrieben: 07.10.2020, 22:46 Die Option gibt es auch, aber das muss erstmal jemand einschalten
Wenn die Prüfung des Gültigkeitszeitraums erst mal eingeschaltet werden müsste, gibt es ja gar kein Problem, denn wie Du schon richtig schreibst, wird man da nicht unnötig herumexperimentieren.

Gültigkeitszeiträume sind IMHO ohnehin eigentlich eher nur ein Notnagel, wenn man keine CRLs hat.
Flole
Insider
Beiträge: 9761
Registriert: 31.12.2015, 01:11

Re: End of Support für FRITZ!Box 6590 & FRITZ!Repeater 310

Beitrag von Flole »

Die default Einstellungen bei Casa sind aber nunmal überprüfen. ;) Und somit gibt es ein Ablaufdatum. Ich habe noch ein altes CM was bald abläuft, dann wird sich zeigen was tatsächlich passiert, ich bin mir aber ziemlich sicher das es rejected wird. Bei solchen "Sicherheits-Optionen" ist VF sehr gründlich.

Die Expiration-Dates machen immer dann Sinn wenn die Zertifikate einfach getauscht werden können und man eventuell die Berechtigung für ein ausgestelltes Zertifikat verlieren könnte (also zum Beispiel bei einem Webserver wenn die Domain den Besitzer wechselt). Wenn man weiß, dass ein Zertifikat nur x Monate gültig sein darf dann kann mit einem alten Zertifikat was vielleicht irgendwo mal auf den alten Besitzer ausgestellt wurde maximal für x Monate Missbrauch betrieben werden. Wenn bei irgendeiner CA einmal ein Zertifikat ausgestellt wurde dann kriegt das nicht zwangsläufig der neue Besitzer mit.
Bei einem CM ist das nun was anderes, da bleibt das Zertifikat auf Ewigkeiten im Gerät, wenn ein Gerät den Besitzer wechselt und das Zertifikat vorher kopiert wurde kann man dem sowieso nicht entgegenwirken.
robert_s
Insider
Beiträge: 7262
Registriert: 30.11.2010, 15:09
Bundesland: Berlin

Re: End of Support für FRITZ!Box 6590 & FRITZ!Repeater 310

Beitrag von robert_s »

Flole hat geschrieben: 07.10.2020, 23:13 Bei einem CM ist das nun was anderes, da bleibt das Zertifikat auf Ewigkeiten im Gerät
Eben, und deshalb ist es da sinnlos, die Gültigkeit des Leaf-Zertifikats zu begrenzen. Stattdessen wäre es sinnvoll, das Herstellerzertifikat zeitlich zu begrenzen, und die Validierung dann nach dem Kettenmodell und nicht nach dem Schalenmodell zu machen. Bei Kettenmodell muss nur der Zeitstempel der digitalen Signatur in den Gültigkeitsbereich des Zertifikats der signierenden Instanz fallen. Damit könnte z.B. ein 2015 ausgestelltes Gerätezertifikat mit einem 2016 abgelaufenen Herstellerzertifikat auch 2020 noch gültig sein.

Aber leider machen wohl mehr Leute was mit PKI als wirklich etwas davon verstehen. Was sich da für haarsträubende Sachen ausgedacht werden (nicht bei DOCSIS), z.B. das Geräte "im Feld" regelmäßig neue Private Keys generieren und sich per CSRs neue Zertifikate beschaffen sollen. Vielleicht kapiere ich es ja nur nicht, aber ich finde da keinen Sicherheitsanker, der verhindert, dass sich auf diese Art JEDER gültige neue Zertifikate für jede beliebige Identität (innerhalb dieser PKI) beschaffen kann...