Sicherheitszertifikat beim Speedport W 921V/ W 921 Fiber abgelaufen

Liebe Kunden,

 

Beim Aufruf der Konfigurationsoberfläche vom Speedport W 921V/ Fiber erhalten Sie ab 20.12.2014 einen Hinweis, auf ein Problem mit dem Sicherheitszertifikat der Webseite.

Die Warnmeldung ist je nach verwendetem Browser unterschiedlich.

Die Konfiguration läst sich nur öffnen, indem das Zertifikat als Ausnahme hinzugefügt oder die Konfiguration trotz abgelaufenem Zertifikat aufgerufen wird.

Es besteht kein Sicherheitsproblem!

Wie Sie eine Ausnahme hinzufügen, können Sie in einem Dokument nachlesen, welches wir hier für Sie bereitgestellt haben:

Sicherheitszertifikat Ausnahme hinzufügen

Zum Hintergrund:

Am 20.12.2014 läuft ein zeitlich begrenztes Sicherheitszertifikat bei den betroffenen Geräten ab, welches nicht mehr benötigt wird.

Dieses Zertifikat wurde während der Passwort-Eingabe über eine kabellose Verbindung (W-Lan) benötigt, um erhöhten Sicherungsstandards zu genügen. Mit aktueller, verbesserter WLAN-Verschlüsselung ist dieses Zertifikat nicht mehr notwendig. Das Zertifikat wird nicht mehr erneuert.

Die Anzeige des Warnhinweises wird mit einem Firmwareupdate Anfang 2015 deaktiviert werden.

 

Gruß

Matthias

Sehr geehrte Damen und Herren,

 

zunächst schließe ich mich folgendem Kommentar des "FelixFischer3" an:

"Liebe Telekom,

 das kann nicht euer Ernst sein, dass ihr eure Kunden dazu erziehen wollt, Zertifikatsfehler zu ignorieren. Ihr solltet es besser wissen. Sicherheitslücken in Routern sind ein Problem, das man sich nicht willentlich einhandelt. Bitte macht es besser und gebt neue Zertifikate aus. Das ist nicht schwer. Da ihr euch, zumindest bei Mietroutern, die Fernwartung ausdrücklich vorbehaltet, habt ihr die nötigen Mittel dazu. Es gibt also keine Entschuldigung.

 Freundliche Grüße
Felix Fischer"

 

Darüberhinaus bitte ich Sie um Stellungnahme zu dem Problem der Fernwartung: ich habe nämlich einen Speedport W921V aus Ihrem Hause gemietet und  somit der Fernwartung durch die Telekom AG zugestimmt. Wurde für diese Fernwartung bislang auch das betreffende (abgelaufene) Zertifikat genutzt? Wenn ja, bedeutet dies nun, daß man künftig die Fernwartung ohne Zertifikat vornehmen kann und somit eventuell auch Personen außerhalb der Telekom AG?

 

Freundliche Grüße

Günther Scheuerer

Die Fernwartung / EasySupport (TR-069) hat mit dem Zugriff auf das Konfigurationsmenü aus dem lokalen Netzwerk (LAN) gar nichts zu tun. Natürlich ist es unschön, wenn für ein abgelaufenes Zertifikat eine Ausnahme hinzugefügt werden muss. Das macht die Verschlüsselung aber nicht unsicherer. Letztendlich ist es der Zertifikatsfunktion egal ob dort im Datum 2014 oder 2022 steht - daher lassen die Browser ja auch bewusst Ausnahmen zu.

 

Gruß Ulrich

 

PS: die WAN-seitige Verschlüsselung (TLS) für das TR-069 Protokoll wird lt. Aussage der Telekom weiterhin gepflegt:

 

http://www.heise.de/netze/meldung/Sicherheitsrisiko-SSLv3-Nur-wenige-Router-sind-laut-Herstelleranga...

 

 

"Natürlich ist es unschön, wenn für ein abgelaufenes Zertifikat eine Ausnahme hinzugefügt werden muss. Das macht die Verschlüsselung aber nicht unsicherer. Letztendlich ist es der Zertifikatsfunktion egal ob dort im Datum 2014 oder 2022 steht - daher lassen die Browser ja auch bewusst Ausnahmen zu."

 

Verstehen muß ich das aber nicht? Selbst wenn das nur "unschön" ist, was hat sie davon abgehalten, das Zertifikat rechtzeitig(!) zu erneuern?

Dort, wo ich mit eigenen Zertifikaten arbeite, sind diese nicht abgelaufen. Die Telekom ist doch kein 2-Mann-Hobbyclub.

 

Nett, dass sie ihren Kunden im PDF zeigen, wie Ausnahmen bei den unterschiedlichen Browsern hinzuzufügen sind. Nur ob das wirklich soo zielführend ist?

Natürlich könnte die Telekom die Zertifikate weiter pflegen, macht sie aber wohl aus wirtschaftlichen Gründen nicht, stattdessen wird sie auf diese Verschlüsselung wie andere Router Hersteller verzichten. Die aktuellen Speedports haben auch keine Verschlüsselung mehr zum Zugang ins Konfigmenü. Mit dem angekündigten Firmwareupdate wird diese Funktion sicherlich auch beim SP W 921 V entfallen. Gruß Ulrich

Es klappt alles so wie im pdf-Dokument beschrieben. Allerdings funktioniert bei mir das login dann nur mit dem Firefox-Browser, mit dem IE 11 nicht. Ich habe http://speedport.ip schon zu den vertrauenswürdigen sites hinzugefügt, keine Änderung. Nach Eingabe des PW erscheint nur ein sich drehender Pfeil (siehe Anhang), aber es erfolgt kein login. Die Status-Informationen hingegen lassen sich abrufen.

Wann bitte schön kommt das Update, das die Anzeige des Warnhinweises Speedport W921V ?? unterbunden wird.. Sollte doch Anfang 2015 kommen laut Aussage!

 

Gruß

Axelbx

Telekom hilft Team
Hallo axelbx,


@axelbx schrieb:
Wann bitte schön kommt das Update, das die Anzeige des Warnhinweises Speedport W921V ?? unterbunden wird.. Sollte doch Anfang 2015 kommen laut Aussage

es ist für das erste Quartal 2015 vorgesehen.


Grüße Detlev K.

Hallo,

wollte nochmals nachfragen wegen des Updats (Sicherheitszertifikat _ Warnhinweis) für den Speedport W921 V -sollte normalerweise bis Ende 2014 erfolgen, dann INFO --> bis Ende 1.Quartal 2015.

Wann bitte schön kommt das den jetzt, meine Firewall nervt mich permanent.

 

Gruß Axelbx

Perfekt - besten Dank für die schnelle INFO !!!

 

Gruß

AxelBx

Hallo nochmal,

das Update 1.37.000  für den W921V behebt allerdings nicht das Problem mit dem Zertifikat-denn das ist lange abgelaufen -und deshalb nervt nach wie vor meine Firewall - wann wird das denn endlich behoben !!

 

Gruß AxelBx


@axelbx schrieb:

 

das Update 1.37.000  für den W921V behebt allerdings nicht das Problem mit dem Zertifikat-denn das ist lange abgelaufen -und deshalb nervt nach wie vor meine Firewall - wann wird das denn endlich behoben !!


Das Konfigmenü des SP W 921V soll mit der neuen Firmware jetzt auch per

 

http://speedport.ip

 

oder

 

http://192.168.2.1

 

zu erreichen sein, also keine verschlüsselte Verbindung mehr erfordern.

 

Siehe hier:

 

https://telekomhilft.telekom.de/t5/Speedport-900er-Serie/Zertifikatsfehler-beim-Speedport-W921V/m-p/...

 

Gruß Ulrich

Vielen Dank für die Antwort - nach nur drei Monaten konnte ich meinen Speedport wieder konfigurieren (WLAN-Passwort ändern und so). Ich habe nämlich per AD-GPO unseren Internetz Explorieren verboten, "unsichere" SSL-verschlüsselte Seiten aufzumachen und somit den "override" abgeschaltet.

Freue mich schon auf den Anruf meiner Mutter (auch 921V-Kunde), die das gefälschte Sparkassen-Zertifikat zulässt. Sie weiss ja nun aufgrund der Telekom-Empfehlung, wie man mit unsicheren Zertifikaten umgehen "muss"...

Hallo,

es funktioniert leider nicht. Denn beim Internet Explorer kommt, wenn ich der Anweisung im pdf folge der Quelltext der Index-Seite des Routers. Kann ich nichts mit anfangen.

Beim Firefox kommt nicht einmal das Feld, wo ich Ausnahmen zulassen könnte. Stattdessen: Setzen Sie sich mit dem Inhaber der website in Verbindung... - Na das tue ich ja jetzt. - Übrigens sollte doch ein Upddate kommen. Ich mache immer alle mit. Trotzdem - Nichts.

mfg

A.S.


@ASanne schrieb:

es funktioniert leider nicht.


Diese beiden Links:

 

http://speedport.ip

 

oder

 

http://192.168.2.1

 

direkt hier angeklickt funktionieren mit keinem Browser? Im Browser hast Du schon mal Verlauf & Co. gelöscht?

 

Welche Firmware nutzt Dein Speedport. Das könntest Du über den EasySupport im Kundencenter abfragen:

 

Zwischenablage01.jpg

 

Gruß Ulrich

 

Hallo Ulrich,

danke für die schnelle Hilfe! - Es hat jetzt geklappt.

Zunächst mal habe ich den Router geresettet (schreckliches Wort; also einfach mal für 30 sec aus der Steckdose gezogen). Und den PC auch neu gestartet.

Beim IE habe ich den Verlauf usw. gelöscht und dann gings tadellos mit beiden Einwahlen (also mit Namen und ip-Adresse).

Beim firefox gings dann auch - sogar ohne den Verlauf vorher zu löschen...

Also lag es vor allem am Neustart des Routers. - Oder? (Wie kommt sowas?)

Freundliche Grüße

A.S.

Liebe Telekomiker,

 

Gibt es keine Routine die ein neues Zertifikat erzeugt, sobald das alte abgelaufen ist. Habt ihr einen Privaten schlüssel für alle Router oder was? Wenn dem so ist, warum überhaupt SSL einsetzen wenn alle den gleichen privaten schlüssel haben?

 

Könnt ihr dazu mal stellung nehmen?!

 

Andere Router Hersteller generieren ein Privatenschlüssel und Zertifikat bei Werkeinstellungen zurücksetzen oder bieten eine funktion Zertifikat erneuern an. Wieso können Speedports das nicht?

 

Wäre doch mal eine Verbesserung der Firmware drin. Die Prozessoren sind schnell genug um 2048 oder 4096 Bit schlüssel zu generieren! Wieso nutzt ihr das nicht aus. Das kann auch im Hintergrund geschehen, wenn der Nuetzer schläft oder so.

 

Dieser Beitrag von UHXSPOD2PCKH (3 Sterne Mitgliedhat meine vollste Unterstützung!

Hallo UHXSPOD2PCKH,

@UHXSPOD2PCKH schrieb:
Gibt es keine Routine die ein neues Zertifikat erzeugt, sobald das alte abgelaufen ist. Habt ihr einen Privaten schlüssel für alle Router oder was? Wenn dem so ist, warum überhaupt SSL einsetzen wenn alle den gleichen privaten schlüssel haben?


das Zertifikat ist in der Firmware hinterlegt. Erst mit einer neuen Firmware mit neuen Zertifikat wäre das Zertifikatsproblem bei Aufruf der Routerkonfiguration über https gelöst. Allerdings ist zurzeit keine neue Firmware vorgesehen. Ein Sicherheitsproblem besteht nicht.

Beim Speedport W 921V und W 921 Fiber läßt sich das umgehen, indem man beim Aufruf nur speedport.ip eingibt und nicht https://speedport.ip

Viele Grüße

Jürgen Wo.

Ja, es geht unverschlüsselt.

Ist jetzt aber nicht euer Ernst, dass ich zukünftig unverschlüsselt auf meinen Router zugreife?

 

Wenn ich unverschlüsselt auf meinen Speedport zugreife, kann jemand, der meine Kommunikation zwischen Rechner und Router mithört, z.B. das Passwort für den Router erfahren. Damit kann er natürlich alles Mögliche verstellen.

Hallo michael1972,

@michael1972 schrieb:
Ja, es geht unverschlüsselt.
Wenn ich unverschlüsselt auf meinen Speedport zugreife, kann jemand, der meine Kommunikation zwischen Rechner und Router mithört, z.B. das Passwort für den Router erfahren. Damit kann er natürlich alles Mögliche verstellen.


Ihr WLAN ist doch mit WPA2 verschlüsselt. Von daher greifen Sie nicht unverschlüsselt auf Ihren Speeport zu.

Viele Grüße

Jürgen Wo.

wie immer schrott von der telekom, habe kein zugriff mehr

Hallo rainerstuckenburg,


@ rainerstuckenburg schrieb:
wie immer schrott von der telekom, habe kein zugriff mehr

Was passiert denn, wenn Sie die Konfiguration aufrufen möchten? Über welchen Weg versuchen Sie in die Konfiguration zu gelangen?

Gruß
Sebastian

Diese Speedport Seite funktioniert einfach nicht. Ich komme nicht in meinen Router.

Ich werde noch wahnsinnig