Sicherheitszertifikat beim Speedport W 723V Typ A und B abgelaufen

Telekom hilft Team

Liebe Kunden,

 

Beim Aufruf der Konfigurationsoberfläche vom Speedport W 723V Typ A und B erhalten Sie ab 20.12.2014 einen Hinweis, auf ein Problem mit dem Sicherheitszertifikat der Webseite.

Die Warnmeldung ist je nach verwendetem Browser unterschiedlich.

Die Konfiguration läst sich nur öffnen, indem das Zertifikat als Ausnahme hinzugefügt oder die Konfiguration trotz abgelaufenem Zertifikat aufgerufen wird.

Es besteht kein Sicherheitsproblem!

Wie Sie eine Ausnahme hinzufügen, können Sie in einem Dokument nachlesen, welches wir hier für Sie bereitgestellt haben:

Sicherheitszertifikat Ausnahme hinzufügen

Zum Hintergrund:

Am 20.12.2014 läuft ein zeitlich begrenztes Sicherheitszertifikat bei den betroffenen Geräten ab, welches nicht mehr benötigt wird.

Dieses Zertifikat wurde während der Passwort-Eingabe über eine kabellose Verbindung (W-Lan) benötigt, um erhöhten Sicherungsstandards zu genügen. Mit aktueller, verbesserter WLAN-Verschlüsselung ist dieses Zertifikat nicht mehr notwendig. Das Zertifikat wird nicht mehr erneuert.

Die Anzeige des Warnhinweises wird mit einem Firmwareupdate Anfang 2015 deaktiviert werden.

 

Gruß

Matthias



Neue Adresse des Links der PDF-Datei angepasst.

Also ich fühle mich mit solchen Aussagen etwas veralbert.

 

Hier mal ein paar Anmerkungen:

  • Das Zertifikat wird benötigt, weil die Verbindung zur Konfigurationseite des Speedport per SSL verschlüsselt ist. Das hat nichts mit unsicheren WLAN zu tun, sondern damit, dass das Passwort sonst im Klartext übertragen wird und man es mit ein paar Tools mitlesen könnte. Egal ob per WLAN oder LAN.
  • Ein gültiges Zertifikat, zu einer per SSL verschlüsselten Seite, bestätigt mir schon mal ,dass ich mit hoher Wahrscheinlichkeit auf dieser Seite angelangt bin und nicht auf einem Fake dieser Seite, wie z.B. bei Fishingversuchen etc.. Aus diesem Grund bin ich doch etwas überraschst, über die von Ihnen angebotene Lösung, einfach eine Ausnahmeregel im Browser einzurichten. Zumal es sich nunmal um die Konfiguration des Gerätes handelt, dass meinen kompleten Internetverkehr und die damit verbundenen Kosten und rechtlichen Konsequenzen beeinflusst. Nicht zu vergessen, durch die aufgezwungene Pflicht zu VoIP managt das gerät ja nun auch meine Telefonate.
  • Sollte das Firmwareupdate "Anfang 2015" die Anzeige der Warnhinweise deaktivieren hoffe ich doch, dass dies durch eine neues gültiges Zertifikat geschieht und nicht durch Verzicht auf die SSL-Verschlüsselung.
  • Stellt sich mir noch die Frage, warum die Telekom nicht in der Lage ist, Firmware mit aktualisierten Zertifikaten vor Ablauf der alten Zertifikate zur Verfügung zu stellen. Denn so weit ich das beurteilen kann, ist es ja für einen Routertyp immer das selbe Zertifikat.

Gruß

Stiwi


@StiwiKS schrieb:

  • Das Zertifikat wird benötigt, weil die Verbindung zur Konfigurationseite des Speedport per SSL verschlüsselt ist. Das hat nichts mit unsicheren WLAN zu tun, sondern damit, dass das Passwort sonst im Klartext übertragen wird und man es mit ein paar Tools mitlesen könnte. Egal ob per WLAN oder LAN.

Kannst Du das bitte mal näher erklären. Die WLAN-Verbindung erfolgt doch verschlüsselt (Standard wohl WPA2), so dass das Kennwort zum Einloggen ins Konfigurationsmenü des Routers auch verschlüsselt ist. Wenn das nicht der Fall wäre, könnte die ganze WLAN-Verschlüsselung vergessen werden.

 


@StiwiKS schrieb:

  • Zumal es sich nunmal um die Konfiguration des Gerätes handelt, dass meinen kompleten Internetverkehr und die damit verbundenen Kosten und rechtlichen Konsequenzen beeinflusst. Nicht zu vergessen, durch die aufgezwungene Pflicht zu VoIP managt das gerät ja nun auch meine Telefonate.

Wer sollte denn die Konfigurationsdaten mitschneiden, wenn Du per unverschüsselter LAN-Verbindung oder per verschlüsselter WLAN-Verbindung den Router konfigurierst. Mögliche Schadsoftware im eigenen LAN schnüffelt schon vor der HTTPS-Verbindung.

 

Apropos aufgezwungene Pflicht zu VoIP: vorher gab es die aufgezwungende Pflicht zu analog, da konnte jeder im Haus und häufig auch außerhalb meine Doppelader anzapfen und meine Telefonate mithören, heute ist der Aufwand auch ohne Verschlüsselung höher.

 


@StiwiKS schrieb:

 

  • Sollte das Firmwareupdate "Anfang 2015" die Anzeige der Warnhinweise deaktivieren hoffe ich doch, dass dies durch eine neues gültiges Zertifikat geschieht und nicht durch Verzicht auf die SSL-Verschlüsselung.

Bei den aktuellen Speedports ist die verschlüsselte Übertragung zum Konfigurationsmenü schon entfallen.

 

Ich gebe Dir natürlich Recht, dass die Telekom hier ehrlicher sein sollte. Es wird schlicht auf die Pflege der Zertifikate verzichtet. Ein Anzeichen darauf gab es mit der Einführung der SP W 724V Serie sowie beim letzten Update der Firmware des SP W 723V Typ A im September, mit dem das Zertifikat nicht erneurt wurde. Ich wies an dieser Stelle schon darauf hin.

 

Gruß Ulrich

Eine weitere  Sicherheitslücke beim Konfigurieren eines Routers ist der User selbst, der vor dem PC sitzt und das Gerätepasswort und Zugangsdaten unschlauerweise über die Tastatur eingibt.

Wenn auf dem PC eine Schadsoftware mit Backdoor und Keylogger läuft, dann  wird das Passwort oder Zugangsdaten schon von der Tastatur abgegriffen und über sie Schadsoftware übers Netz an den Server der bösen Hacker gesandt.

Passwörter usw.  gibt man mit der Maus ein, das ist für einen Keylogger schwierig mitzuschneiden.
Windowstaste + R drücken, OSK eingeben, Enter drücken.

Sehr Richtig, StiwiKS,

 

Ich fühle mich auch durch die telekom verarscht. Siehe https://telekomhilft.telekom.de/t5/Frage-stellen/Speedport-stellt-ung%C3%BCltiges-Zertifikat-aus/qaq...

 

Genau das was ich hier beschrieben habe und von einem Telekom Mann als Unsinn abgetan wird, wurde mir von einem Telekom-Berater per Telefon erläutert. Offenabr kann man ja auch nicht mehr auf die Antworten der Teleko-Leute reagieren, oder wo gibt es hier einen Antwort-Button??


@ngawa schrieb:

Sehr Richtig, StiwiKS,??


Bitte mal technisch begründen, was an @StiwiKS Aussagen richtig ist.

 


ngawa schrieb:
Ich fühle mich auch durch die telekom verarscht. Siehe https://telekomhilft.telekom.de/t5/Frage-stellen/Speedport-stellt-ung%C3%BCltiges-Zertifikat-aus/qaq...

Dazu hat @Gelöschter Nutzer ja schon auf den offiziellen Telekom-Hinweis zur weiteren Nutzung des Konfigmenüs verwiesen, die auch ohne aktuelles Zertifikat funktioniert!

 

Gruß Ulrich

 

@UlrichZ:

Bei dem abgelaufenem Zertifikat geht es nicht um die Verschlüsselung des WLAN sondern um die Verschlüsselung der Kommunikation zwischen dem Browser und dem Webserver, der auf dem Router das Konfigurationsfrontend bereitstellt. Diesen Verschlüsselung wird per SSL bzw. TLS bewerkstelligt. Das Zertifikat hat dabei die Aufgabe, den Nutzer zu bestätigen, dass man wirklich auf der Seite gelandet ist, die man meint aufgerufen zu haben. Wenn man nun für den Speedport bestätigt, dass man auf ein gültiges Zertifikat Pfeift(nichts anderes ist das  was die Telekom hier als Lösung anbietet), kann man sich nie mehr sicher sein, ob man tatsächlich auf dem Router gelandet ist oder auf irgendeiner schadsoftware, die nur vorgaukelt der Router zu sein. Nicht falsch verstehen, die Datenübertragung ist auch bei abgelaufenem Zertifikat noch verschlüsselt, man weiß halt nur nicht obs tatsächlich der Router ist.

 

Sollte die Telekom nun in kommenden Firmware Versionen tatsächlich auf SSL/TLS verzichten fände ich das zutiefst beunruhigend. 

 

@DerNordKreisler: 

Das ganze nützt nichts, wenn im Anschluss die Daten im Klartext übers Netz übertragen werden und man dann mit frei erhältlichen Sniffertools die Daten lesen kann oder wenn die Webseite gar nicht der eigene Router ist -siehe oben im Text -

 

Gruß Stiwi 


@StiwiKS schrieb:

@UlrichZ:

Bei dem abgelaufenem Zertifikat geht es nicht um die Verschlüsselung des WLAN sondern um die Verschlüsselung der Kommunikation zwischen dem Browser und dem Webserver


Das ist mir klar, mir ist aber nicht klar, wo die Sicherheitsgefahr herrührt, über unverschlüsseltes LAN oder verschlüsseltes WLAN die Kommunikation mit dem Konfigmenü zu führen. Mögliche Schadsoftware sitzt vor der vorschlüsselten HTTPS-Verbindung des Browsers.

 


@StiwiKS schrieb:
Wenn man nun für den Speedport bestätigt, dass man auf ein gültiges Zertifikat Pfeift(nichts anderes ist das  was die Telekom hier als Lösung anbietet), kann man sich nie mehr sicher sein, ob man tatsächlich auf dem Router gelandet ist oder auf irgendeiner schadsoftware, die nur vorgaukelt der Router zu sein.

Schadsoftware kann Dir auch mit gültigem Zertifikat schon etwas vorgaukeln, in dem sie Anfragen an speedport.ip umleitet, das kann nicht durch eine verschlüsselte Übertragung verhindert werden.

 


@StiwiKS schrieb:

Das ganze nützt nichts, wenn im Anschluss die Daten im Klartext übers Netz übertragen werden und man dann mit frei erhältlichen Sniffertools die Daten lesen kann oder wenn die Webseite gar nicht der eigene Router ist -siehe oben im Text -


Wer liest denn im Deinen Netz die Daten über frei erhältliche Sniffertools mit? Du solltest doch der Herr über Dein Netz sein. Und wie schon geschrieben, Schadsoftware auf einem Client kann auch vor der verschlüsselten Übertragung mitlesen.

 

Gruß Ulrich

Lieber UlrichZ,

 

meine Bestätigung bezog sich auf Stiwis Aussage:

Unbenannt1.JPG

Wie mir Ihr telekom-Mitarbeiter in eiem längeren Gespräch bestätigte ist es offenbar Usus, dass die Telekom nicht mehr dazu bereit ist, Sicherheitszertifikate durch Update, Verlängerung oder wie auch immer für die Konfiguration des Routers bereit zu stellen, sondern den Kunden mehr oder weniger dazu zwingen will, auf einen neuen router oder einen Mietrouter einzusteigen..

Und wenn innerhalb kürzester Zeit mein Problem(https://telekomhilft.telekom.de/t5/Frage-stellen/Speedport-stellt-ung%C3%BCltiges-Zertifikat-aus/qaq... als gelöste apostrofiert wird und man keinerlei Reaktionen mehr dazu anführen kann ist es auch nicht gerade hilfreich für einen langjährigen telekom -Kunden:

Unbenannt2.JPG

Und wenn man sich die verlinkte "Lösung" anschaut stellt man fest, dass diese Lösung keine Lösung ist, denn auch der aktuelle Firefox stellt keine in der "Lösung" angebotene "Lösungsmöglichkeit" zur Verfügung. Das was kommt ist diese Meldung und rührt von einem Speedport W921V.

 

Unbenannt.JPG

 

Lieber UlrichZ, sagen Sie mir die Lösung und ich bin ruhig :-))

 

Durch das Ablaufen der Sicherheitszertifikate wird niemand zum Kauf eines neuen Routers gezwungen!

Hier:

 

http://www.telekom.de/dlp/eki/downloads/Speedport/zertifikat_speedports.pdf

 

 

wird beschrieben, wie im jeweils genutzten Browser eine Ausnahme hinzugefügt wird, um das abgelaufene Zertifikat weiter nutzen zu können.

 

Gruß Ulrich

Lieber UlrichZ

Natürlich wird man nicht gezwungen, wenn man am Router nichts mehr konfigurieren will; wenn man konfigurieren will schon. Die mit Ihrer Ausnahmeregel vorgeschlagene Lösung funktioniert übrigens auch nicht; was funktioniert ist das Rechnerdatum auf ein Datum vor dem Zertifikatsablauf zu stellen.

 

Wenn das Ihre Lösung sein sollte, nein Danke.

 

Ich glaube hierauf wird es keine Antwort geben.

 

 

Ihre Webseite heißt:

https://telekomhilft.telekom.de . sie sollte besser heißen willhelfen.de

 

Ich habe die Lösung: Machen Sie ein firmware-update mit einem verlängerten Sicherheitszertifikat und schon Hilft die Telekom.

Erstens ist bei wlan nur die Funkverbindung verschlüsselt und nicht der eigentliche Netzwerkverkehr und zweitens kann schadsoftware auf irgendeinem rechner oder mobilgerät im Netzwerk laufen. Zum Thema "Herr über mein Netz" sei der Hinweis gestattet,dass es tatsächlich Haushalte gibt, in denen es mehr als einen User gibt. Das war dann auch schon alles,was ich dazu noch zu sagen habe. 

Meine Verwunderung über das Vorgehen der Telekom hat die Diskussion hier leider nicht besser werden lassen. Vielleicht lesen wir ja bald einen Artikel zum Thema in der c't o.ä. Möglicherweise hilft das ja.


@ngawa schrieb:

Die mit Ihrer Ausnahmeregel vorgeschlagene Lösung funktioniert übrigens auch nicht


Was genau funktioniert denn mit welchem Browser nicht?

 

Gruß Ulrich


@StiwiKS schrieb:
Vielleicht lesen wir ja bald einen Artikel zum Thema in der c't o.ä.

Davon gehe ich nicht aus, denn auch der renommierte deutsche Konsumerrouter-Hersteller AVM verschlüsselt meines Wissens nicht die Verbindung in das Konfigmenü einer FRITZ!Box (http://fritz.box). Und das gilt auch für viele andere Routerhersteller.

 

Gruß Ulrich

Ihre Lösung:

Unbenannt.JPG

 

meine Anzeige:

Unbenannt1.JPG

Mit welcher Firefox Version arbeitest Du? Ich habe gerade meinen SP W 723V Typ A angeschlossen und im FF 34.0.5 die Ausnahmeregel erfolgreich hinzugefügt.

 

Nach dem Klick auf Ausnahmen hinzufügen öffnet ein weiteres Fenster, dann ein erneuter Klick und die Verbindung wird zugelassen.

 

Gruß Ulrich

 

 

Meine Firefox version ist 34.0.5 bei meinem Speedport steht vorne drauf "Speedport W 921 V"; Ich gehe mal davon aus, wenns draußen drauf steht ists auch innen drinn.


@ngawa schrieb:

Meine Firefox version ist 34.0.5 bei meinem Speedport steht vorne drauf "Speedport W 921 V"; Ich gehe mal davon aus, wenns draußen drauf steht ists auch innen drinn.


Zunächst: im Thread geht es um die beiden SP W 723V Typen. Aber, die Ausnahmeregel muss sich natürlich auch für das Zertifikat des SP W 921V erfolgreich einrichten lassen.

 

Wie gehst Du denn vor? Du rufst

 

https://speedport.ip

 

auf. Dann folgst Du den Hinweisen -> Ich kenne das Risiko -> Ausnahmen hinzufügen und dann öffnet dieses Fenster:

 

original.jpg

 

Was passiert, wenn Du auf OK klickst?

 

Gruß Ulrich

 

 

 

Lieber UlrichZ,

es ist richtig, dass ich in diesen Thread des 723V gerutscht bin, nachdem es mir nicht möglich, auf meinen eigenen Thread zu antworten. Ich weiß auch wie ich auf den router komme. Das Bildchen, das angezeigt wird, habe ich auch gepostet. Ich weiß auch welche Knöpfe ich zu drücken hätte, wenn ich sie den sehen würde

 

Sag doch jetzt einfach mal, die telekom könnte mal ein neues Firmware-Update mit verlängertem Sicherheitszertifikat bereitstellen, damit ich diesen Scheiß-router wieder konfigurieren kann. Ich warte von mir aus 2 Wochen. Ich kann mir ja behelfen, wenn ich das Datum zurückstelle.

 

Ich gehe mal davon aus, dass Du ein telekom-Mitarbeiter bist, aber hier nicht posten willst oder kannst, dass diese Strategie der telekom darauf hinaus läuft, möglichst neue router zu verkaufen. Es ist so einfach ein Zertifikat mit einer verlängerten Laufzeit in einem Firmware-Update zur Verfügung zu stellen.

Nachtrag:

wenn ich auf OK drücke passiert nix!

Zunächst einmal: ich war jemals noch bin ich ein Telekom-Mitarbeiter! Ich habe außer meinem privaten Telekom-Vertrag und meinem Hobby, in diesem Forum zu antworten, keinerlei Beziehung zur Telekom.

 

So, ich habe Screenshots der notwendigen Schritte gemacht.

 

  1. in die Browser-Adresszeile https://speedport.ip eingeben
  2. in dem öffnenden Warnfenster des Feld Ich kenne das Risiko anklicken

    1.jpg

  3. das Warnfester vergrößert sich und dann auf Ausnahmen hinzufügen klicken

    2.jpg
  4. jetzt erscheint ein PopUp-Fenster und dort den Haken bei Diese Ausnahme dauerhaft speichern setzen und auf Sicherheits-Ausnahmeregel bestätigen klicken

    3.jpg
  5. und schon öffnet erfolgreich die Konfigseite

    4.jpg

Was ist bei Deinem Firefox anders?

 

Gruß Ulrich

 

PS: lösche zunächst in Deinem Browser mal die Chronik (Cookies, Cache ...)

 

Vielen Dank ulrichZ für deine ausgesprochene Mühe,
Wir kommen hier nicht weiter.
Da obige Bildchen habe ich gepostet. Mir wird dann nur ein "OK" angeboten.. Anschließend passiert nix.
Auf deine bildersequenz komme ich nicht.
Schönen Dank für deine Mühe und ausdauer

Hast Du irgendwelche Sicherheits-AddOns/PlugIns oder eine Sicherheits-Bar im Firefox installiert, die diesen Dialog unterbindet?

 

Versuche es doch einmal mit einem anderen Browser, die Anleitungen hast Du Dir schon heruntergeladen.

 

Gruß Ulrich

 

 

Hallo zusammen,

 

bei mir hat es erst funktioniert, nachderm ich die Datei "cert8.db" im Firefox Profilordner gelöscht habe.

 

Hilfe - Informationen zur Fehlerbehebung. Unter "Allgemeine Informationen" findet man den Eintrag "Profilordner". Dort klickt man auf den Button "Ordner anzeigen".

Danach habe ich die Datei "cert8.db" gelöscht.

 

Danach konnte ich die Sicherheits-Ausnahmeregel dauerhaft speichern.

 

Siehe dazu auch https://support.mozilla.org/de/kb/Dieser-Verbindung-wird-nicht-vertraut

 

Frohe Weihnachten.