Beantwoord

Beveiligde verbinding Experiabox


Reputatie 6
Hoi Allemaal,

Nu HTTPS steeds belangrijker gaat worden i.v.m. bijvoorbeeld zoekmachines maar ook vanwege het feit dat Google Chrome en FireFox meldingen aangeven dat je gegevens invult op een onbeveiligde verbinding vroeg ik mij af waarom de modems van KPN niet bereikbaar zijn over HTTPS? Je krijgt dan de melding 'De server op 192.168.2.254 doet er te lang over om te antwoorden.'
icon

Beste antwoord door RobinFlikkema 29 maart 2017, 20:25

Hoe zie jij HTTPS (eventueel icm HTTP/2) voor je op de Experiabox? Ik weet niet in hoeverre je bekend bent met HTTPS maar laat ik het even kort uitleggen:
HTTPS biedt 2 dingen: Authenticatie en Beveiliging.


Authenticatie


Om te beginnen moet je weten dat elke browser en besturingssysteem bepaalde bedrijven vertrouwen. Een zogenaamde trusted third party.

Authenticatie werkt doordat elke webserver (de 'computer' die de website host) met HTTPS ondersteuning een certificaat heeft. Deze certificaten komen in vele soorten en maten, maar de meest gebruikte (en goedkoopste) zijn DV-certificaten. Zonder op technische details in te gaan bevat zo'n certificaat de naam van de webserver, en een sleutel.
Dat certificaat is door een trusted third party ondertekend waardoor jij, mits je die third party vertrouwd, er van uit kan gaan dat het certificaat klopt.

Als de server jouw het certificaat kan laten zien, en deze ondertekend is door een vertrouwde third party weet jij zeker dat je met de server praat die op het certificaat staat.

Beveiliging


Tijdens het opzetten van de (TCP-)verbinding met de webserver wordt besproken welke encryptie methode gebruikt wordt. Heel simpel gezegd vertelt de browser wat hij kan en vertelt de webserver wat hij kan en dan wordt de beste gekozen. Deze encryptiemethoden werken meestal met hoge priemgetallen of .elliptic curves waardoor alleen de partijen die de sleutel(s) weten de data kunnen versleutelen en ontsleutelen.

Het "probleem"


Het grootste probleem is het verkrijgen van de certificaten. Er is geen een (algemeen vertrouwde) partij die certificaten voor interne IP-adressen uitgeeft (dit is verboden). En de Experiabox heeft niet echt een domeinnaam, behalve mijnmodem.kpn maar daar mogen geen certificaten voor worden uitgegeven tenzij KPN de kpn extensie/tld koopt.
Daarnaast moeten die certificaten in de Experiabox worden opgeslagen maar wie zegt mij dat niemand anders toegang heeft tot dat certificaat en zich voordoet als mijn Experiabox?

Daar komen we direct bij een ander punt, namelijk dat het niet zo'n groot probleem is. De Experiabox is alleen over het LAN te benaderen, en dat mag je, over het algemeen, vertrouwen.

Persoonlijk zie ik liever dat Chrome of Firefox aangeeft dat de verbinding "niet veilig" is dan dat er een schijnveiligheid gewekt wordt doordat er een SSL certificaat aan de Experiabox hangt die op alle aansluitingen hetzelfde is.

Dan zie ik liever een optie om zelf certificaten er aan te kunnen hangen, maar ik verwacht dat dat amper gaat gebruikt worden en dan kan die tijd beter besteed worden aan andere verbeteringen (IPv6; VPN Server)

Dat je browser aan geeft dat het modem er te lang over doet klopt, HTTPS is namelijk 'niet ingeschakeld'.

Robin

Bekijk origineel

4 reacties

Reputatie 7
Badge +29
Hoe zie jij HTTPS (eventueel icm HTTP/2) voor je op de Experiabox? Ik weet niet in hoeverre je bekend bent met HTTPS maar laat ik het even kort uitleggen:
HTTPS biedt 2 dingen: Authenticatie en Beveiliging.


Authenticatie


Om te beginnen moet je weten dat elke browser en besturingssysteem bepaalde bedrijven vertrouwen. Een zogenaamde trusted third party.

Authenticatie werkt doordat elke webserver (de 'computer' die de website host) met HTTPS ondersteuning een certificaat heeft. Deze certificaten komen in vele soorten en maten, maar de meest gebruikte (en goedkoopste) zijn DV-certificaten. Zonder op technische details in te gaan bevat zo'n certificaat de naam van de webserver, en een sleutel.
Dat certificaat is door een trusted third party ondertekend waardoor jij, mits je die third party vertrouwd, er van uit kan gaan dat het certificaat klopt.

Als de server jouw het certificaat kan laten zien, en deze ondertekend is door een vertrouwde third party weet jij zeker dat je met de server praat die op het certificaat staat.

Beveiliging


Tijdens het opzetten van de (TCP-)verbinding met de webserver wordt besproken welke encryptie methode gebruikt wordt. Heel simpel gezegd vertelt de browser wat hij kan en vertelt de webserver wat hij kan en dan wordt de beste gekozen. Deze encryptiemethoden werken meestal met hoge priemgetallen of .elliptic curves waardoor alleen de partijen die de sleutel(s) weten de data kunnen versleutelen en ontsleutelen.

Het "probleem"


Het grootste probleem is het verkrijgen van de certificaten. Er is geen een (algemeen vertrouwde) partij die certificaten voor interne IP-adressen uitgeeft (dit is verboden). En de Experiabox heeft niet echt een domeinnaam, behalve mijnmodem.kpn maar daar mogen geen certificaten voor worden uitgegeven tenzij KPN de kpn extensie/tld koopt.
Daarnaast moeten die certificaten in de Experiabox worden opgeslagen maar wie zegt mij dat niemand anders toegang heeft tot dat certificaat en zich voordoet als mijn Experiabox?

Daar komen we direct bij een ander punt, namelijk dat het niet zo'n groot probleem is. De Experiabox is alleen over het LAN te benaderen, en dat mag je, over het algemeen, vertrouwen.

Persoonlijk zie ik liever dat Chrome of Firefox aangeeft dat de verbinding "niet veilig" is dan dat er een schijnveiligheid gewekt wordt doordat er een SSL certificaat aan de Experiabox hangt die op alle aansluitingen hetzelfde is.

Dan zie ik liever een optie om zelf certificaten er aan te kunnen hangen, maar ik verwacht dat dat amper gaat gebruikt worden en dan kan die tijd beter besteed worden aan andere verbeteringen (IPv6; VPN Server)

Dat je browser aan geeft dat het modem er te lang over doet klopt, HTTPS is namelijk 'niet ingeschakeld'.

Robin
Reputatie 6
@RobinFlikkema,

Hier ben ik zeker wel bekend mee 😉 ik vroeg het alleen omdat ik op mijn eigen router ook HTTPS (of beide) kan inschakelen. Uiteraard krijg je dan een waarschuwing maar je bent 'beveiligd'. Tuurlijk ben ik met je eens dat hij alleen lokaal benaderbaar is maar je weet nooit met KPN 🙂
@RobinFlikkema
Een (per device gegenereerd) self signed certificaat kan toch prima werken? Het biedt in ieder geval versleuteling van het transport, ondanks de waarschuwing in de browser. Deze waarschuwing kan vermeden worden door expliciet dit unieke certificaat van de experiabox toe te voegen als vertrouwd certificaat.
Reputatie 7
Badge +29
Nou, dat kan zeker werken. En persoonlijk ben ik ook voorstander (behalve van het toevoegen van het certificaat op eindapparaten).

Maar, ik durf tegelijkertijd ook te wedden dat 75% dan gaat bellen / posten / etc over "Onveilig"/"Niet beveiligde" website wanneer ze de webinterface open.

Dan zou ik eigenlijk gewoon wachten, en eind dit jaar, of hoelang het ook met de overheid duurt, een eigen router in te zetten. Dan zorg ik zelf wel voor een (trusted) certificaat die ik er aan hang.

Robin

Reageer