Firefox 70 weiterhin ohne sicheres Fritz!box Interface

Posted on 23. Oktober 2019 by marius

Letzte Nacht noch mit Hoffnung auf ein besseres LAN Erlebnis ins Bett gegangen, aber Firefox 70 enttäuscht dann auch heute morgen noch mit dem „SEC_ERROR_INADEQUATE_KEY_USAGE“-Fehler 🙁

Fritz!Box Webinterface weiterhin ohne SSL

Auch mit der Installation von Firefox 70 haben sich alle Hoffnungen auf eine Lösung des SSL Problems vorerst in Luft aufgelöst. Die bei Mozilla für diese Komponente zuständige Entwicklerin Dana Keeler hatte da wohl auch eher das Prinzip Hoffnung in Einsatz. Da ich mittlerweile vom AVM Support eine „Wir schauen mal nach“ Meldung bekommen habe, bin ich insofern beruhigt, als daß sich alle Parteien um eine Lösung bemühen.

Klar, man kann mit dem FF ohne SSL ins Interface, aber das ist natürlich nur eine Notlösung. Chrome benutzen geht zwar auch, aber auch das ist eher unschön.

Wer trotzdem dringend einen Firefox 70 braucht

findet hier die FF70 Downloadlinks:

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc29/x86_64/firefox-70.0-1.fc29.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc30/x86_64/firefox-70.0-1.fc30.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc31/x86_64/firefox-70.0-1.fc31.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc32/x86_64/firefox-70.0-1.fc32.x86_64.rpm

Firefox, die Fritz!box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler

Posted on 21. Oktober 2019 by marius

Was hatten wir schon lange nicht mehr? Das der Firefox seltsame Fehlermeldungen ausspuckt. Seit es Firefox 69 gibt, kann man statt der Adminoberfläche seiner Fritz!box nur noch einen mysteriösen, bis Dato unbekannten, „SEC_ERROR_INADEQUATE_KEY_USAGE“ Fehler sehen:

Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit fritz.box trat ein Fehler auf. Eine Verwendung des Zertifikatschlüssels ist für den versuchten Arbeitsschritt unpassend. Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Wer ist da der Schuldige?

Ihr kennt den Fehler auch nicht? Da seid Ihr in guter Gesellschaft. Ein so unbekannter Fehler ist es dann allerdings auch nicht, wie meine Nachforschungen ergeben haben. Leider nutzt dies alles nichts, da man den Bug nicht selbst beheben kann. Das Ihr eine Fritzbox, einen Firefox und Linux habt, ist übrigens keine Garantie auch eine Fehlermeldung zu bekommen.

Der Fehler wird von Firefox seit 69 für die Fritzboxen gezeigt, d.b. Firefox hat offensichtlich einen Check verändert, der vorher durchgelaufen ist.
Moniert wird, daß der Key gar nicht für ein Cert zugelassen wäre: „A certificate has a key usage extension that does not assert a required usage“

Wenn man sich das Cert mit openssl x509 -text -purpose ansieht, kommt das raus:

Certificate purposes:
SSL client : Yes
SSL client CA : Yes
SSL server : Yes
SSL server CA : Yes
Netscape SSL server : Yes
Netscape SSL server CA : Yes
S/MIME signing : Yes
S/MIME signing CA : Yes
S/MIME encryption : Yes
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
Time Stamp signing : No
Time Stamp signing CA : Yes

Also alles korrekt? Mitnichten!

Die Zwecke für die das Zert eingesetzt werden darf, sind ok. Was aber ins Auge fällt ist:

X509v3 Subject Alternative Name: critical
DNS:benderirc.de, DNS:fritz.box, DNS:www.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box, DNS:fritz.nas, DNS:www.fritz.nas

Ihr seht richtig. In dem Cert der Fritzbox taucht ein Domainname auf, der da gar nichts zu suchen hat und von dem Firefox bereits ein gültiges Zertifikat kennt.

Issuer: CN = benderirc.de
Validity
Not Before: Dec 24 15:25:01 2017 GMT
Not After : Jan 15 15:25:01 2038 GMT

Schauen wir weiter nach der Gültigkeit, finden wir raus, daß es bereits im Jahr 2017 erzeugt wurde, so also schon seit Jahren dem Firefox vorliegt und der das bislang noch nie moniert hat.

AVM gegen Mozilla

Die Frage zu klären wird sicher spannend und nervig werden. Primär würde ich jetzt erstmal AVM beschuldigen, weil der Domainname hat da nun so gar nichts zu suchen. Was geht bitte meine Fritzbox eine meiner Domains an? Auf der anderen Seite, ist das kein neuer Zustand, also wieso meckert FireFox jetzt da drüber?

Ich werde also beide anmailen müssen, damit jeder seinen Teil an dem Desaster behebt. Im Bugzilla von Mozilla ist zu dem Fehler bereits vor 6 Jahren mal ein Patch geschrieben worden, ich wette da hat bei Version 68->69 einer dran rumgespielt.

Android – Jitsi Probleme mit der Fritz!Box beheben

Posted on 23. Dezember 2017 by marius

Im Chaos um die VOIP Probleme der einzelnen Linuxclienten, kommt hier nun der Fix für das Passwort-vergessen-Problem von Jitsi für Android.

Das Problem

Jitsi für Android, was ja nur eine jahrealte Alphaversion ist, hat offensichtlich Probleme die Verbindung zur Fritz!Box zu halten. Normalerweise gibt es dafür den KEEP ALIVE oder die REGISTER Funktion, aber hier macht Jitsi wohl soviel falsch, daß es der Fritz!box auf den Keks geht und es Jitsi rauswirft. Da sich Jitsi jetzt nicht mehr anmelden kann, kommt es zu einer Rückfrage bei der Jitsi das eingegebene Passwort, das zu allem Überfluss auch nicht gespeichert war, vergißt. Als Folge ist man laufend auf der Fritz!Box gesperrt, und muß dauernd das Passwort eingeben.

Da mich das an die Probleme mit SIPGate errinnert hat, habe ich da den gleichen Fix versucht: die Connection auf TCP umstellen. Nur dazu braucht man einen Proxyserver :)Also fragen wir bei AVM nach, was dort eingetragen werden muß und ob das überhaupt klappen wird.

Der AVM Support

Hier die erste Anfrage :

Detaillierte Beschreibung:
Guten Tag,die Frage ist allgemeiner Natur, da die Jitsi Androidversion immer wieder die Anbindung zum Server verliert und nach dem Passwort fragt.Da ich ähnliche Probleme mit Sipgate hatte und dort der Wechsel auf TCP via Proxyservereinstellung die Probleme behoben hat, wollte ich gern wissen, ob das mit einer FritzBox ähnlich gehen würde. Auch wenn das in einem lokalen Netz eher komisch klingt 😀mit freundlichen Grüßen,
….

Die von AVM kommende Antwort war schon etwas merkwürdig, aber fairerweise muß man ihm zugestehen, daß nicht jeder Jitsi kennen muß, nur weil er bei AVM arbeitet:

….
vielen Dank für Ihre Anfrage an den AVM Support.Leider muss ich gestehen, dass ich Ihr Anliegen anhand Ihrer Informationen noch nicht vollumfänglich verstanden habe. Für die weitere Analyse benötigen wir umfangreichere Informationen.Bitte beantworten Sie mir folgende Fragen:
An was für einem Internetanschluss von welchem Anbieter setzen Sie die FRITZ!Box ein (z.B. Telekom DSL 16 Mbit/s)?

Welche Geräte (z.B. Computer, NAS-System, Hub/Switch) verwenden Sie? Geben Sie Hersteller und Modellnamen an.
Wie ist das Android-Gerät mit der FRITZ!Box verbunden?
Was für ein „Server“ wird verwendet?
Welche Protokolle werden verwendet?
Was soll das „lokale Netz“ leisten?
Wie sieht Ihr Wunschszenario aus?
Wie äußert sich das Fehlerbild in Ihrer bisherigen Konfiguration?

…Senden Sie mir bitte anschließend die Fehlerbeschreibung und das ZIP-Archiv mit den Support-Daten zu.

Wir werden die Support-Daten nach Erhalt detailliert analysieren und Ihnen anschließend eine Rückantwort zukommen lassen.

Bitte beachten Sie, dass dieser Prozess eine gewisse Dauer in Anspruch nimmt.
Ich wünsche Ihnen schon jetzt einen guten Start ins Wochenende.

Freundliche Grüße aus Berlin
….

Ich mußte dem Mitarbeiter Recht geben, er hatte es nicht verstanden, also beschrieb ich es etwas sehr eindeutig :

Fritzbox -> wlan -> android handy -> Software: jitsi android per SIP > fritzbox

Ich möchte eigentlich nur wissen, ob es für die SIP Anbindung zur Fritzbox eine TCP Option auf der Box gibt und wenn ja, was man(wenn überhaupt) als Proxyserver eingeben muß.
…

Sehr Ihr da irgendwo die Erwähnung der FritzPhone-App ? Der Mitarbeiter wohl schon :

vielen Dank für Ihre Geduld.
Die Anmeldung der App an der FRITZ!Box ist technisch möglich. Hierzu muss eine IP-Nebenstelle innerhalb der FRITZ!Box angelegt werden.
Die Eintragung eines Proxys ist möglich, aber nicht erforderlich.

Wenn der Support ratlos ist

Wir halten fest: Problem nicht verstanden und Anfrage nicht richtig gelesen und damit bei der Antwort Thema verfehlt. Spätestens bei dem Stichwort SIP hätte es klingeln müssen.

In dem Fall hilft also nur ausprobieren und genau das tat ich 🙂

Lösung

Jitsi starten, dann ins Menü und die ACCOUNT SETTINGS aufmachen. Dann den Fritzboxeintrag auswählen und dessen Settings öffnen. Und kommt nach einigen Scrollen ein Schiebeschalter unter, der bei der automatischen Proxykonfiguration steht. Den abschalten und dann das „Proxy“ aka. die Fritzbox selbst angeben:

Da es die heimische Fritz!box ist, können wir hier natürlich die IP der Box eingeben und den Port 5060 benutzen. Als bevorzugten Transport dann wieder TCP auswählen und das Problem ist scheinbar erledigt. Denn, wenn Ihr diesen Beitrag lest, gab es eine Woche lang keine Probleme mehr und damit auch keinen Grund, den Beitrag zu löschen 😉 Telefonieren geht mit den Einstellungen auch noch, also scheint das so zu laufen.

Marius Welt

Tag Archives: Fritz!box