Ik vind het prettig dat mijn Fritz!box geen HTTPS gebruikt. Met Firefox levert dat geen problemen op. Je krijg natuurlijk geen hangslotje in de browser.

Het kan ook nauwelijks anders omdat je zit met het probleem wie het certificaat van de Fritz!box moet ondertekenen. Kan je er een Let's Encrypt certificaat voor aanvragen? Wat voor die miljoenen andere modems die ook op het Fritz.box domein zitten? Krijgen die hetzelfde certificaat als de rest? Hoe veilig is dat!

Omdat verkeer tussen jouw computer en de Fritz!box daar ook eindigt en niet het internet opgaat (dat is niet de bedoeling), is het risico ook erg klein. Het enige risico dat ik kan bedenken is dat meerdere mensen op jouw WiFi zitten en mee kunnen kijken in het verkeer naar de Fritz!box. Omdat dit met dezelfde WPA2 sleutel is geëncrypt.

Hoe dat met een antwoordapparaat zit heb ik niet uitgezocht (ik bel terug bij een gemiste oproep met nummerweergave). Ik begrijp dat de Fritz!box daar een intern geheugen voor heeft, internal answering machines.

Zelf heb ik Telephony -> Telephone Numbers -> Line Settings -> Prevent use of internet telephony from the home network aangevinkt met mijn Dect telefoon met basis station. Dit heeft geen nadelige gevolgen gehad voor mijn bereikbaarheid.

Verder staat alleen SIP open vanaf het internet. Dus geen FTP(S), HTTP(S). Dit kan je testen met GRC ShieldsUP! https://en.wikipedia.org/wiki/ShieldsUP. Niet alle poorten achterelkaar testen want dan reageert de Fritz!box een paar seconden niet meer.

Dan heb je toch geen up-to-date firmware of een oud model dat niet meer geupdate wordt. Volgens de fabrikant ondersteunt hun software tegenwoordig wel https. Dat moet ook wel als je gebruikers de optie geeft om hem vanuit het internet te beheren.

https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/1001_Vanuit-het-internet-toegang-tot-de-FRITZ-Box/

Gewoon even Googlen hoe je een self signed certificate kan maken. Dan configureer je het CA certificate in je vertrouwde organisaties en klaar is kees.
Geen Lets Encrypt voor nodig.

Ik heb LE certificaten alleen voor services waar derden gebruik van kunnen maken.
Voor locale websites zoals mijn pfSense, Unifi controller e.d. router heb ik een selfsigned certificaat.

@zowat iedereen hierboven: Ik weet wat een self-signed certificate is. De remailer Dizum had op een gegeven moment een self-signed SSL certificaat die ik trouw aan mijn browser toevoegde. Fan als ik was van de remailer en de eigenaar daarvan.

Later dacht ik, is dit wel zo handig? Wat als ik een root certificaat heb toegevoegd en daar andere websites mee zijn ondertekend?

Opeens was het self-signed certificaat niet meer zo'n goed idee maar een beveiligingsrisico. Vooral vanwege alle waarschuwingen die ik weg moest klikken om deze te installeren.

Self-signed certificaten bestaan ook, en een Fritz!Box genereert die voor zichzelf, ook als je hem niet configureert om via het internet benaderbaar te zijn. De mijne (een 7490) kan ik althans over HTTPS met zo'n self-signed certificaat benaderen vanuit mijn thuisnetwerk.

Volgens mij is Fritz 7590 best wel nieuw en nog modern.
En nee vanuit internet mag niemand op mijn fritz, zelfs mijn ISP niet (vandaar een fritz gekocht).
Alleen van intern, mijn flappie naar mijn antwoord apparaat, de fritzbox.

Dat je waarschuwingen moet wegklikken om hem te installeren, noem ik geen beveiligingsrisico. Dat doe je bewust, waarbij je weet dat het een zelf-ondertekend certificaat is.

Zelf maak ik een CA certificaat met 10 jaar geldigheid en voeg die aan mijn systeem en browsers toe. Op de devices komen vervolgens self-signed certificaten met 13 maand geldigheid die ik via een CSR laat ondertekenen door mijn CA certificaat. Ook nieuwe self-signed certificaten geven dan geen waarschuwingen meer op mijn computers.

Wat ik zelf heb gedaan is iets technischer, maar ik heb een Cloudflare Tunnel opgezet naar mijn Synology NAS met een Docker container draaiende Cloudflared (deamon). en deze door laten verwijzen naar je interne NAS IP via Zero Trust portal van Cloudflare. Dan heb je Altijd een SSL en kun je nog extra veiligheid toevoegen zoals MFA of Regio blokkade etc.

NetworkChuck heeft er des tijds een hele video over gemaakt op YouTube.

Ik hoop dat je er wat aan hebt

Dit heb je zelf gedaan. Maar dat is voor een gemiddelde computergebruiker niet haalbaar.

Zelf had ik het met de website van de remailer niet zo doordacht, maar ik vond het cool dat de remailer operator het zo had gedaan. Pas later realiseerde ik mij dat ik ook een CA had kunnen installeren in mijn browser door mijn gebrek aan kennis. En nu denk ik dat er ook meerdere domeinnamen aan het self-signed certificaat hadden kunnen zijn toegevoegd. Bijvoorbeeld de domeinnaam van mijn bank.

Je kan zeggen ik vertrouw een self-signed certificaat van mijn Fritz!Box. Maar zo simpel is het helaas niet. Zonder betrouwbare root CA's valt het hele SSL/TLS systeem in elkaar. Ook al voeg je maar één self-signed certificaat toe aan je browser..

Nu wil Europa ook een rootcertificaat toevoegen aan alle browsers die in Europa gebruikt worden. Ik heb hier vanwege mijn ervaring met de remailer grote bedenkingen bij. Hoewel ik het wel cool vind dat het technisch mogelijk is!

Sorry voor de late reactie! Ik reageer eerst op de vragen/stellingen van de bovenste Anonieme reageerder in deze pagina. Vervolgens probeer ik de problematiek en mogelijke oplossingen uit te leggen aan elke geïnteresseerde lezer. Alle inhoudelijke reacties stel ik op prijs!

Dat ben ik niet met je eens. De basis van goed systeembeheer is dat je het juiste apparaat benadert in plaats van (potentieel) jouw beheerwachtwoord in verkeerde handen te laten vallen. Kost dat meer moeite? Ja. Gaat het anders altijd fout? Nee. Maar je doet dit om de risico's zo klein mogelijk te houden.

In principe wel, maar dan op basis van het publieke IP-adres van de router, of voor een unieke publieke domeinnaam die daarnaar verwijst, of wat ik helemaal onderaan deze (lange) reactie schrijf.

Dat kan niet, alhoewel er altijd gekken zijn die zulke schijnveiligheid inzetten of hebben ingezet (voorbeeld: https://security.nl/posting/646927).

Laat dat nou net een slechte raadgever zijn. Aanvankelijk dachten experts ook dat SSL, DNS en WEP/WPA veiliger waren dan later bleek.

Alle AVM Fritz!Box routers die ik heb gehad ondersteunden en ondersteunen, voor het beheer van het apparaat, zowel http (waarbij de router verbindingen op TCP poort 80 accepteert) als https (TCP poort 443) aan de LAN-zijde (LAN = Local Area Network).

Eerder schreef ik overigens hierover in https://security.nl/posting/833744.

Hopelijk verduidelijkt het volgende "plaatje" van een typische thuissituatie het een en ander, o.a. waarom een FritzBox geen "geldig" certificaat heeft. De reden daarvoor is dat je voor een "geldig" https servercertificaat een wereldwijd unieke domeinnaam moet hebben (of een wereldwijd uniek IP-adres), en af-fabriek heeft een Fritz!Box geen van beide.

Nb. in onderstaand plaatje heb ik, als voorbeeld, 82.94.191.109 als publiek internet adres gekozen (niet van mij maar van www.security.nl). In de notatie x.x.x.x:p is 'p' het poortnummer. Zowel afzenders als ontvangers gebruiken poortnummers, waarbij het poortnummer aan de serverzijde meestal vastligt (zoals 443/TCP voor https) en het poortnummer aan de clientzijde min of meer random gekozen wordt (maar meestal in de reeks 1025..65535 ligt, boven de 1024 dus).


Internet vereist dat daarop gebruikte IP-adressen wereldwijd uniek zijn, d.w.z. dat 1 IP-adres aan maximaal 1 apparaat is gekoppeld (een netwerkaansluiting van een apparaat kan wél meer dan 1 IP-adres hebben, maar het omgekeerde mag niet - vergelijkbaar met dat 1 telefoonnummer aan hooguit 1 telefoon gekoppeld mag zijn, terwijl 1 telefoon bijv. 2 SIM-kaarten kan herbergen en zo twee verschillende telefoonnummers kan hebben).

Af fabriek heeft elke Fritz!Box, aan de LAN-zijde (LAN = Local Area Network), als IP-adres 192.168.178.1. Dat is dus géén wereldwijd uniek IP-adres.

O.a. voor thuisgebruik zijn reeksen "private range" IP-adressen afgesproken in RFC 1918 (https://datatracker.ietf.org/doc/html/rfc1918). Die IP-adressen horen niet op internet te worden gebruikt (routers op internet horen netwerkpakketjes met als ontvanger een private range IP-adres nergens naartoe door te sturen, dus te te "droppen").

Welk IP-adres een thuisrouter aan de WAN-zijde (W = Wide, internet dus) krijgt, wordt bepaald door de ISP (Internet Service Provider). Meestal krijgt een thuisrouter, na aanzetten, automatisch een wereldwijd uniek WAN IP-adres van de ISP (dit kunnen ook twee IP-adressen zijn, een IPv4 en een IPv6 adres).

Thuisrouters wijzigen, "on the fly", IP-adressen in netwerkpakketjes die van de LAN- naar de WAN-zijde gaan (en vice versa, antwoorden op die pakketjes). Dit wordt NAT (Network Address Translation) genoemd (als ook poortnummers worden gewijzigd noemen we dat PNAT). Meer info over (P)NAT lees je bijv. in https://security.nl/posting/834127.

Als de router aan staat (ook als deze geen internetverbinding heeft) en je sluit er bijv. een PC op aan met een ethernetkabel (of als je WiFi inschakelt op de PC), dan zal die PC een "broadcast" netwerkpakketje versturen met de vraag of er een DHCP-server beschikbaar is op het LAN (de PC heeft op dat moment nog geen geldig IP-adres).

De Fritz!box beantwoordt dat met configuratiegegevens voor de PC, waaronder:

a) Een -op het LAN- uniek IP-adres voor de PC (plus het "net mask", op basis waarvan de PC weet wat het laagste en hoogste IP-adres van op het LAN aangesloten apparaten is, en dus wat via de router gestuurd moet worden - omdat het buiten die reeks valt);

b) Het (door de PC) te gebruiken IP-adres van de "default gateway" (de route naar alle IP-adressen buiten de adresreeks van het LAN, dus alles dat niet 192.168.178.* is);

c) Het (door de PC) te gebruiken IP-adres van de "DNS-server", d.w.z. waar de PC DNS-requests naar toe kan sturen.

Standaard zijn b) en c) het LAN IP-adres van de Fritz!Box zelf (af fabriek ingesteld op 192.168.178.1, desgewenst te wijzigen).

In de Fritz!Box "draaien" meerdere servers (of services) die vanaf het LAN bereikbaar zijn:
• DHCP;
• DNS;
• Webserver, bereikbaar via zowel http als https;
• Er draaien er nog meer maar die zijn niet relevant voor deze uitleg.

Optioneel kan de Fritz!Box ook zo worden geconfigureerd dat deze via internet beheerd worden. Dan luistert de Fritz!Box ook aan WAN-zijde op TCP poort 443 (https).

Sterk vereenvoudigd (ik laat geldigheidsduur, serienummer e.d. weg) is een https servercertificaat een bestandje met de volgende inhoud:

Eén van de voorwaarden voor echte betrouwbaarheid is dat "Eigenaar" (en/of SAN-lijst) één of meer wereldwijd unieke identificatoren moet bevatten. Het certificaat dat mijn Fritz!Box vandaag naar mijn browsers stuurde, bevat (vereenvoudigd) de volgende gegevens:
Van de SAN's zijn alleen 1) en 2) wereldwijd uniek. Dat het om een self-signed certificaat gaat, blijkt uit het feit dat de ondertekenaar dezelfde is als de eigenaar.

1) Hoewel mijn Fritz!Box niet vanaf internet beheerbaar is, heeft deze toch (zelf) een certificaat gegenereerd met daarin het publieke IPv4 (en het publieke IPv6) adres dat ik van mijn ISP toegewezen kreeg.

2) Vermoedelijk genereert mijn Fritz!Box, elke keer dat mijn ISP mijn (of één van beide) WAN-IP-adres wijzigt, een nieuw certificaat (ik sluit niet uit dat de Fritz!Box, elke keer na een firmware-update, of zelfs elke keer bij het opnieuw opstarten, een nieuw certificaat genereert). Het heeft dus weinig zin om dit certificaat in een PC als "trusted" te laten onthouden.

3) De public key in het certificaat verandert echter nooit (dus ook de bijpassende private key niet). Als ik een browser gebruik waarmee ik certificaten uitgebreid genoeg kan inspecteren, kan ik checken of het nog om dezelfde public key gaat (en dus een AitM is uitgesloten - want tijdens het opzetten van de https = TLS-verbinding stelt mijn browser vast dat het andere eindpunt over de bijpassende private key beschikt). Nb. een eventuele AitM kan alle andere gegevens naar een nepcertificaat kopiëren (alle SAN's, serienummer, geldigheidsdatums etc.) maar beschikt zelden over de private key passend bij de public key in het echte certificaat (als zij of hij dat wél doet, is ook jouw Fritz!Box gecompromitteerd).

4) Helaas ontbreekt 192.168.178.1 in het lijstje met SAN's. Helaas, want door https://192.168.178.1 te openen zou ik de risicovolle DNS-stap overslaan. Dat kan ook nu, maar dat leidt effectief tot twee foutmeldingen:

• Niet vertrouwd certificaat (niet ondertekend door een vertrouwde certificaatuitgever);

• De gevraagde "hostnaam" (192.168.178.1) komt niet vóór als SAN.

Firefox (Android) voegt beide fouten echter samen (ook als ik https://fritz.box open) door onder meer te melden:
Ook Chrome (Android) doet zoiets, door alleen het eerste probleem te melden:

5) Als ik de beheerinterface van mijn Fritz!Box open in Firefox (Android) door in de adresbalk te tikken en enter te drukken, terwijl "Alleen-https-modus" aan staat:
a) fritz.box
b) http://fritz.box
c) https://fritz.box
Dan ziet alles er hetzelfde uit (schuine rode streep door hangslotje) maar is er, onverwacht door mij, uitsluitend bij c) sprake van een https-verbinding, wat te zien is door in de adresbalk te drukken, of door op het hangslotje te drukken en daarna op "Verbinding is niet beveiligd >". Het resultaat:
a), b):

c):
(De tekst is onjuist: de verbinding is in elk geval wél versleuteld, je weet alleen veel minder zeker dat jouw browser met het juiste apparaat communiceert).

6) Als ik hetgene genoemd onder 5) herhaal met Chrome (onder Android, eveneens met "Altijd beveiligde verbindingen gebruiken") dan is het resultaat:
b):
(Ook die tekst is onjuist: het apparaat ondersteunt wel https, maar met een self-signed certificaat).

a), c): in de adresbalk staat "https://fritz.box/" met "https" doorgestreept met twee horizontale rode strepen, en daaronder:

• Het gebruiken van https://192.168.178.1 i.p.v. https://fritz.box is waarschijnlijk veiliger, omdat genoemd IP-adres niet routeerbaar hoort te zijn op internet (terwijl die fritz.box domeinnaam wél resolvt als je "buiten jouw LAN zit").

• Browser-meldingen bij ongeauthenticeerde servers en/of http i.p.v. https zijn onduidelijk en verwarrend (Nederlandse vertalingen verergeren dit meestal).

• Firefox lijkt bij "private range" IP-adressen, als je alleen domeinnaam (zoals fritz.box) intikt zonder voorvoegsel (protocolaanduiding, http:// of https) een voorkeur te hebben voor http://. Dat lijkt mij iets om rekening mee te houden (denk aan de potentiële situatie dat een lokale aanvaller een RFC 1918 adres retourneert op een DNS-vraag van jouw toestel). Stop altijd, of check wat er exact aan de hand is bij een schuine streep door het hangslotje!

• De Fritz!Box genereert op mogelijk onverwachte momenten een nieuw https servercertificaat met daarin wel steeds dezelfde public key. Als je die tijdens de eerste verbinding noteert, en bij volgende verbindingen checkt of het om dezelfde public key gaat, heb je in elk geval TOFU (Trust On First Use).

• Het aanzetten van de "Alleen-HTTPS-modus" in browsers is m.i. nog steeds het verstandigst, en verhindert niet dat je IoT apparaten kunt beheren (je kunt altijd voor "toch doorgaan" o.i.d. kiezen). De extra meldingen die je krijgt zou je moeten willen krijgen: zelfs als uitsluitend door jou gelezen informatie niet vertrouwelijk is, is het in bijna alle gevallen relevant dat je "weet wie het zegt" en die informatie "onderweg" niet is gewijzigd (m.a.w. dat je weet dat alle informatie afkomstig van de server authentiek is). Om dat zeker te weten, moet je weten of de server (waar jouw browser verbinding mee heeft) daadwerkelijk van de kennelijke of geclaimde eigenaar is, én dat die verbinding zodanig is versleuteld dat je óók wordt gewaarschuwd bij ongeautoriseerde wijzigingen "onderweg" (TLS, waar https op gebaseerd is, zorgt daar standaard voor bij versleutelde verbindingen).

• Ten slotte: als er belangstelling voor bestaat wil ik wel uitzoeken (specifiek voor deze situatie, Fritz!Box), en beschrijven hoe je zelf veilige cerificaten kunt maken en installeren. Ik zou een rootcertificaat maken en de bijbehorende private key gebruiken om een tweede (een "leaf") certificaat voor de Fritz!box mee te ondertekenen. In dat leaf-certificaat zou ik een domeinnaam opnemen waar je géén publiek certificaat voor kunt verkrijgen (zoals fritz.local). Daarna zou ik de private key van het rootcertificaat grondig wissen. Vervolgens zou ik dat rootcertificaat op de gewenste apparaten installeren, en het leaf-certificaat (met de daarbij passende private key) op mijn Fritz!box.

Je lijkt te denken dat een host-certificaat achteraf omgekat kan worden naar een CA-certificaat , of als zodanig bruikbaar is.

Dat is niet zo.

Wellicht dat je in een verkeerd begrepen dialoog wel verleid kunt worden om een CA-certificaat te installeren, maar op moment dat jij een self-signed host certificaat toevoegt, is dat het.
Het is niet achteraf te wijzigen naar een CA certificaat , en je vertrouwd ook niet zomaar andere certificaten die door dezelfde self-signing CA ondertekent zijn.

Aardige gedachte dat iemand buiten router.me ing.nl als alternatieve naam zou kunnen toevoegen.
Ik weet niet of dat uitgebreid getoond wordt in de dialoog als je een self-signed certificaat besluit te accepteren en toe te voegen.
Maat het is in elk geval niet onzichtbaar - uiteindelijk kun je terugkijken in je cert store naar alle details van je geaccepteerde self-signed certificaat.

Ik schreef dat.

Als je WPA2 gebruikt, zit er encryptie op je communicatie met je modem. En als je bekabeld bezig bent is het nog veiliger omdat dat niet afgeluisterd kan worden vanaf de UTP kabels. XS4All had vroeger een tip over het gastnetwerk van de Fritz!Box. Ik heb ergens gelezen of gehoord dat mensen daar ook hun slimme deurbel op zetten zodat het niet heel erg is als die gehackt wordt.

Daar stop ik liever mijn energie in. Plus dat ik gegarandeerd mijn Fritz!Box HTTPS certificaat kwijt maak en dan een factory reset moet doen om bij mijn instellingen te komen ;-)

Ik stel één keer mijn Fritz!Box in vanaf een veilige computer zonder andere apparatuur en kijk er dan nooit meer naar. Dus ik voer dan ook nooit meer mijn wachtwoord in (welke ik wel ergens opschrijf en bewaar, veilig voor online bedreigingen). Updates gaan automatisch via Fritz en KPN natuurlijk. Daar krijg ik ook geen mailtjes over. AVM heeft mijn e-mail adres niet. Is bij mijn 7360 v1 ook goed gegaan al die jaren tot die vervangen moest worden van XS4All. Daar stond gewoon de nieuwste firmware op bij het wissen voor het terugsturen naar KPN. Heb ik al die jaren niet op ingelogd. Toch up-to-date (en EOL helaas, ik heb er alles uit gehaald wat er uit te halen viel).

Het duurt wel een paar weken voor ik overtuigd ben dat ik alles goed heb ingesteld helaas. Zo werkt mijn brein.