da ich FHEM übers Internet nutze, wollte ich nun die Seite über https zugänglich machen.
Nach dieser Anweisung http://www.fhemwiki.de/wiki/Raspberry_Pi_%26_HTTPS (http://www.fhemwiki.de/wiki/Raspberry_Pi_%26_HTTPS) hat es auch geklappt.
Aber wie immer bei "fhemwiki" wird nicht genau erklärt wieso ich meine persönlichen Daten angeben muss.
Der Fragenblock wird in fhemwiki einfach außer acht gelassen:
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Country Name ist ja noch ganz ok, aber MUSS ich meinen Namen oder meine email-Adresse eingeben und wenn ja, müssen diese richtig sein, was passiert wenn ich alles frei lasse, habe ich da später evtl. Probleme ?
Ich hoffe jemand kann mir die Fragen beantworten!
Gruß
Tom
Hallo Tom,
ich kann Dir deine Frage nicht beantworten - aber warum machst Du nicht VPN über die Fritzbox?
Gruß Otto
Da es ein rein Privates Zertifikat, kannst Du diese Bereiche leer lassen oder mit "Müll" füllen. Wenn Du eine "Abuse"-Mailadresse hast, dann ist es aber optimaler, die dort reinzuschreiben.
Wie immer ein Ausnahme:
"Common Name" dort solltest Du Deine externen DNS-Namen eintragen.
Zitat von: Otto123 am 23 August 2015, 23:50:37
[...]ich kann Dir deine Frage nicht beantworten - aber warum machst Du nicht VPN über die Fritzbox?[...]
Halla Otto123,
diese Frage kann ich dir präzise beantworten:
Weil ich VPN nicht von jedem Computer nutzen kann.
Sowie ich das verstanden habe, muss ich VPN clientseitig eingerichtet haben und das ganze sogar noch mit Administratorrechten, das macht VPN für mich absolut nutzlos!
Zitat von: Wernieman am 24 August 2015, 09:35:02
Da es ein rein Privates Zertifikat, kannst Du diese Bereiche leer lassen oder mit "Müll" füllen. Wenn Du eine "Abuse"-Mailadresse hast, dann ist es aber optimaler, die dort reinzuschreiben.
Wie immer ein Ausnahme:
"Common Name" dort solltest Du Deine externen DNS-Namen eintragen.
Mein externer DNS-Name,.....
welcher jetzt:
den meiner Fritz-Box:
xxxxxxxxxxxxxxxxxxxx.myfritz.net:8083den von meinem DDNS-Anbieter :
xxxxxxxx.ddns.net:8083oder den von meinem Weiterleitungsserver:
xxxxx.deEs ist nicht einfach, extern benutze ich ausschließlich den von meinem Umleitungsserver, also
xxxxx.de, der ist einfach zu merken,
dieser wird aber über meinen DDNS-Anbieter geleitet und dieser wiederum schickt die Daten nur an die gerade verwendete IP-Adresse.
Im Grunde genommen gibt es gar keine echte Domain, sondern immer NUR die sich wechselnde IP.
selbst wenn ich mich über die Fritz-Box mit
xxxxxxxxxxxxxxxxxxxx.myfritz.net:8083 anmelde, wird im Grunde genommen nur die jeweils gültige IP
verwendet.
Ich habe mich im Netz mal ein bisschen umgesehen und die meisten haben bei
"Common Name" ihren eigenen Vor- und Zunahmen eingetragen,
also ich bin da etwas verwirrt, was ist denn nun richtig ??
Gruß
Tom
Wie dort steht: FQDN
Also der Name, unter dem Du den Server aufrufen willst.
Warum gehst Du über einen "Spiegelsever", wenn Du direkt über ddns gehen kannst? So mache ich es jedenfalls ...
Hallo Tom,
ich würde nicht von öffentlichen Rechner ins private Netzwerk gehen. Wozu?
https bedeutet lediglich, das die Übertragung verschlüsselt wird, sonst nichts. Und dass sogar NSA mithörsicher 8)
Ich nutze VPN auf meinem Handy und FHEM Web, dass genügt mir absolut. Zwei Dinge die ich im Blick haben muss: Mein Handy und meine Fritzbox.
Zu Deiner eigentlichen Frage: Du willst ein privates Zertifikat für Dich nutzen, das ist es wirklich relativ Wurst was Du in die Felder schreibst. Hauptsache Du erkennst Dich da wieder.
Ich will Dir noch ein bisschen verraten was Du vor hast:
Du wirst dann ein privates Zertifikat in jeden möglichen Zertifikatsspeicher dieser Welt eintragen, welches den Weg zu Dir nach Hause freischießt. Um die restliche Sicherheit wirst Du Dir keinen großen Kopf machen, Hauptsache Du kommst auf Deine Webseite. Damit es funktioniert wirst Du jede Menge Ports öffnen, sicherheitshalber wahrscheinlich alle. Notfalls die Firewall ausschalten.
Alle Links zu Deinem DDNS und Deine Kontendaten werden in allen Browsern dieser Welt gecached, weil Dich da gar niemand fragt. Jeder der dann mal an einem solchen Rechner sitzt kann dann bei Dir zu Hause das Licht ausmachen, bestenfalls...
Ich hoffe Du kannst auch die ganzen sicherheitsrelevanten Fragen zu Deinen involvierten Komponenten so "präzise" beantworten.
Gruß Otto
Zitat von: Wernieman am 24 August 2015, 10:20:57
Wie dort steht: FQDN
Also der Name, unter dem Du den Server aufrufen willst.
Warum gehst Du über einen "Spiegelsever", wenn Du direkt über ddns gehen kannst? So mache ich es jedenfalls ...
Ganz einfach, weil der Name des "Spiegelservers" weitaus kürzer ist als der des DDNS-Anbieters (das ist übrigens n kostenloser) :)
Zitat von: Wernieman am 24 August 2015, 10:20:57
Also der Name, unter dem Du den Server aufrufen willst.
also der des Spiegelservers !?
@Otto123ja, du hast recht, ich bin schon am überlegen ob ich überhaupt noch ins Internet gehen soll, Teufelszeug das ganze! :P
Zitat von: Tom111 am 24 August 2015, 10:38:57
ja, du hast recht, ich bin schon am überlegen ob ich überhaupt noch ins Internet gehen soll, Teufelszeug das ganze! :P
Da hast Du mich völlig falsch verstanden. Du sollst/kannst/darfst schon ins Internet gehen! Aber den Schlüssel für zu Hause kopieren und überall liegen lassen?
Aber Du wirst das schon machen 8)
Gruß Otto
Aus diesen Gründen habe ich nicht fhem, sondern einen apache proxy freigeschaltet. Der leitet erst nach Einloggen weiter, d.h. der Angreifer braucht erst mal einen User/Passwort, bis er ...
Das ist übrigens auch die Schwachstelle Deines Konzeptes. Du solltest fhm etwas mehr absichern, http ist nur eine Verschlüsselung und kein Einbruchschutz!
Zitat von: Wernieman am 24 August 2015, 14:02:23
https ist nur eine Verschlüsselung und kein Einbruchschutz!
Du hast es schön kurz und knapp gesagt, ich habe mich ausschweifend in die Ecke der Internet=Teufelszeug manövriert :-X
Und meine Befürchtung ist: Wer schon mit dem Zertifikat nicht so richtig Bescheid weiß ....
Gruß Otto
Schade das man in diesem Forum keinen beitrag ein + geben könnte, den das hättest Du verdient ...
P.S. Lust mal auf einen Stammtisch in Leipzig? :)
Stammtisch: Ja klar, wo?
Gruß Otto
Da dieses jetzt OT wird, habe ich einen eigenen Thread im Passenden Forumsbereich aufgemacht:
http://forum.fhem.de/index.php/topic,40351.0.html (http://forum.fhem.de/index.php/topic,40351.0.html)