EVSE-WiFi Board

Hallöchen,
habt Ihr ggf. Pläne die Web-Kommunikation in einer zukünftigen Version zu verschlüsseln (TLS)? Ein Self-signed Zertifikat würde ja schon reichen.. oder die Möglichkeit ein Zertifikat hochzuladen..

Ich hab halt immer Bauchschmerzen wenn ein Passwort im Klartext über TCP geht.. das kann man so schön mitlesen

Die Frage kann man natürlich aber auch als Paranoia abhaken.. je nach Sichtweise.

LG

Habe das mal in den Bereich "Feature Request" verschoben.

Zum Thema:
Das kann ich gut nachvollziehen!

Da unwissende User ein self-signed Zertifikat möglicherweise durch die Warnungen im Browser als noch unsicherer interpretieren könnten und ein direkter Zugriff auf die Wallbox aus dem Internet ausdrücklich nicht empfohlen ist, gibt es diese Möglichkeit derzeit nicht. Gänzlich unverschlüsselte WLANs gehören ja mittlerweile zum Glück der Vergangenheit an.

Ich nehme das aber gerne mal ins Backlog auf. Grundsätzlich ist das sicher umsetzbar.

Ich denke die meisten user dürften inzwischen an die self signed warnung der browser für das eigene equipment gewohnt sein.
Die wenigsten home-geräte haben ein "richtiges" zertifikat drauf.

Wie wäre es abschaltbar?
Also default sowohl https mit self signed als auch http, wobei man http abschalten kann über die settings?

disorganizer hat geschrieben: ↑

Do 28. Jan 2021, 15:23

Ich denke die meisten user dürften inzwischen an die self signed warnung der browser für das eigene equipment gewohnt sein.
Die wenigsten home-geräte haben ein "richtiges" zertifikat drauf.....

So, jetzt oute ich mich mal. Was ist eine "self signed warnung"? (und ich arbeite viel am Rechner, aber nicht als SW-Ing. )

öffne mal das Webinterface deiner Fritzbox und dann schreib vor die Adresse in der Adresszeile mal "https://" anstatt "http://". Dann solltest du die Warnung sehen.

Der Browser kennt den Ursprung des Zertifikats nicht, da dieses vom Gerät selbst ausgestellt wurde und warnt den Nutzer entsprechend, dass die Verbindung unter Umständen nicht sicher ist.

OK - es geht also um verschlüsselte Komm. innerhalb des LAN. Scheint heutzutage mit der immer größere werdenden Anzahl vernetzter Geräte sicherlich wichtiger zu werden. Könnte man mal auf die to do setzen, aber m.E. nicht höchste Prio.
Wie wird mit https das Zertifikatshandling geregelt?

OpenWB hat's übrigens auch noch nicht drin.
VG aio

Wie oben schon vorgeschlagen stellt entweder der ESP ein Zertifikat aus und verwendet dieses oder man stellt selbst eins aus und lädt das dann manuell hoch. Auf der To-Do-Liste steht das schon. Wenn mal ein bisschen Luft ist, werde ich mir das genauer anschauen und hier Rückmeldung geben.

Gutsten.. hab garnicht mit soviel Feedback für so ein schnödes Thema gerechnet , vielen Dank für das rege Feedback!

@ Aiole:

https://www.websecurity.digicert.com/se ... shake-work

Ohne schlaumeiern zu wollen hier noch etwas sehr laienhaft zusammengedengeltes Halbwissen:

Das Zwischenstellenzertifikat und das Stammstellenzertifikat werden lokal installiert wenn der Client keine Internet-Konnektivität hat oder eine Firewall die Kommunikation zur Zwischenstelle oder Stammstelle blockiert.

Sobald die Verwendung des Zertifikates genehmigt ist (durch die Zertifizierungsstelle oder den Benutzer, wenn er die Warnung bzgl. self-signed akzeptiert und fortfährt) erfolgt der SSL/TLS Handshake zwischen dem lokalen Webbrowser und dem Webserver. Dabei einigen sich die beiden auf eine Verschlüsselungsstärke und ein gemeinsames Verfahren.

Leider ist unverschlüsselte Kommunikation im TCP extremst unsicher.. wenn man mal mit Wireshark o.ä. Tools den Datenverkehr ein wenig mitprotokolliert hat sieht man wie einfach es ist Passwörter, Kontoverbindungen, Kreditkarteninformationen o.ä. vertrauliche Daten aus den unverschlüsselten Rohdaten mitzulesen. Ein paar Filter reichen aus um mir die gewünschte Information zu liefern.. im Zweifelsfall über eine manipulierte Webcam-Firmware oder einen hübschen Bot. Daher ist Verschlüsselung auch im internen Netz inzwischen absolut sinnvoll sobald irgendeine Verbindung in "die böse Außenwelt Internet" möglich ist..

Für mehr und vor allem fachlich korrekten Input müsste ich jetzt allerdings meine kompetenten Kollegen um Hilfe bitten

Natürlich bleibt es trotzdem ein NiceToHave-Thema, es gibt wichtigeres

VG.. und DON'T PANIC

Danke!
Das ist bei den vielen Smarthomegeräten sicher eine immer wichtiger werdende Maßnahme. Nicht jedes Gerät hat eine Flashoption für alternative Firmware und nicht jeder kann seine LAN's proffessionell strukturieren (VLAN).

Lass uns aber zunächst die SW-Features nahezu perfekt ausbauen, bis dieser Step kommt.
VG aiole