Kotiverkko ja certifikaatin käyttö

[Biin]

Hei,

Täällä on varmasti kokeneempaa porukkaa, joka osaa kommentoida tähän asiaan. Eli tilanne on, että kun menen selaimella esim reitittimen hallintasivulle, tulee ilmoitus, että "tämä yhteys ei ole turvallinen". Kuvauksessa kerrotaan, että ei käytetä sertifikaattia/ssl yhteyttä.

Ymmärtääkseni cerrti ei välttämättä vaadi domainia? Lisäksi voisi käyttää self-signed certtejä. Auttaisivatko nämä self-signed certit näihin ongelmiin ja lisäävätkö nämä turvallisuutta kotiverkon liikenteessä?

Vai onko näiden käytöstä kotiverkossa enemmän haittaa, kun hyötyä?

 

[dot1q]

Tuo toiminto on koodattu selaimille 2018 nurkilla, että http:// alkuisilla sivuilla vierailijaa AINA varoitetaan, että sivusto lähettää kirjautumistiedot salaamattomana ja selväkielisenä verkon yli. Tämä on se syy miksi tuo ilmoitus tulee.
Voiko laitteeseen sitten laittaa varmenteen - riippuu laitteesta.

 

[Kautium]

Salauksen voit todennäköisesti laittaa päälle sieltä reitittimesi asetuksista, tai sitten se toimii suoraan, kun vaan laitat osoitteen alkuun https. Salauksen käyttäminen ei vaadi rekisteröityä domainia ja voit käyttää myös omia sertifikaatteja, mutta selain herjaa niin pitkään, kun käytetty sertifikaatti ei ole luotetun tahon myöntämä ja vastaa myös sitä DNS-nimeä jolla palvelua käytetään. Herjasta pääsee eron kun kertoo selaimelle, että haluaa luottaa siihen omaan sertifikaattiin kaikesta huolimatta.

Olennaista on kuitenkin ymmärtää, että tuo salaus koskee vain sen käyttämäsi selaimen ja hallintasivun välistä liikennettä. Sillä ei siis voi parantaa langattomaan verkkoon yhteyden muodostavien clienttien ja reitittimen välistä liikennettä, eli siihen vaikuttavat muut asetukset siellä reittitimessä.

 

[telcoM]

Joo, teknisesti on mahdollista tehdä self-signed sertifikaatteja, mutta sellaisen kanssa vaaditaan sitten vähän ymmärrystä siitä miten sertifikaatteja kannattaa tehdä ja miten niiden luotettavuus määritellään. Tämä on ilmeisesti ainakiln amerikkalaiselle peruskäyttäjälle liikaa vaadittu, ja siksi nykyiset selaimet tapaavat niuhottaa self-signed sertifikaateista lähes yhtä paljon kuin salaamattomista yhteyksistä yleensä.

Jos teet self-signed sertifikaatin, olisi hyvä sertifikaattia luodessa pitää huoli että se on pätevä vain joko tietylle yksittäiselle sivulle tai sellaiselle omalle (ali)domainille josta tiedät itse varmasti mitä siellä kuuluisi olla ja mitä ei. Sertifikaatin luontivaiheessa nämä tiedot liitetään sertifikaattiin itseensä siten, että niitä ei voi muuttaa jälkikäteen ilman sertifikaattia vastaavaa salaista avainta. Kun sertifikaatti on luotu, se pitää sitten asettaa luotetuksi, joko käyttöjärjestelmän sertifikaattivarastossa (Windows, Mac) tai selaimessa itsessään (Linuxit, Firefox kaikilla käyttöjärjestelmillä).

Jos reitittimessä oleva sertifikaatti (salaisine avaimineen) joutuu vääriin käsiin ja se on alunperin luotu löperösti, se saattaa antaa tunkeutujalle helpon keinon huijata niitä käyttäjiä jotka ovat asettaneet reitittimen sertifikaatin luotetuksi.

HTTPS:n kanssa käytettävä sertifikaatti luodaan aina jollekin tietylle (yhdelle tai useammalle) nimelle: reitittimen hallintasivun tapauksessa sille nimelle jota käyttämällä kotiverkosta pääsee reitittimen asetussivulle. (Periaatteessa nimen paikalla voi olla myös IP-osoite, mutta tarkoituksena on käyttää nimen omaan nimeä.) Usein nykyiset reitittimet hoitavat tämän tarjoamalla "valedomain-nimen" joka on olemassa vain reitittimen tarjoamassa sisäverkossa ja viittaa reitittimeen itseensä. Tähän asti tämä on onntehty istunut koska keskiverto kotireititin toimii myös kotiverkon DHCP-palvelimena, ja voi siis kertoa kotiverkon koneille että reititin itse on samalla myös DNS-nimipalvelin jota kotiverkon koneiden tulisi käyttää. Reititin sitten vastaa nimipalvelukyselyihin itse jos ne koskevat hallintasivun valedomain-nimeä, ja välittää kyselyt eteenpäin yhteydentarjoajan oikealle DNS-nimipalvelimelle kaikissa muissa tapauksissa.

Nyt tai pikapuoliin saattaa olla että tämä ei enää toimi luotettavasti, kun selaimet alkavat yhä useammin ohittaa DHCP-palvelimen kertoman nimipalvelimen ja siirtyvät käyttämään DNS-over-HTTPS tai DNS-over-TLS-ratkaisuja, joihin reititin ei enää pääsekään väliin. Tällöin voi olla että reititin ei enää pääse kertomaan valedomainistaan selaimelle, ja reitittimen hallintasivulle pitääkin mennä IP-osoitteella. Tällöin selain myös varoittaa reitittimen sertifikaatista käytännössä aina, ellei sitten reitittimen self-signed sertifikaattia ole nimenomaisesti tehty sallimaan myös reitittimen sisäverkon puoleisen IP-osoitteen käyttöä nimen lisäksi.