Prüfung des SSL Zertifikats bei Zugriff per https
Leider prüft Tinymatic bei Zugriff via https das Zertifikat des Servers nicht auf Gültigkeit. Damit wäre es sehr einfach eine Man-in-the-Middle Attacke durchzuführen und die verschlüsselte Verbindung zu kompromittieren. Effektiv ist daher auch mit https keine Verbindungssicherheit gegeben aktuell.
Vorschlag: Tinymatic prüft das SSL Zertifikat außer es ist explizit eine Option in den Einstellungen gesetzt die diese Prüfung abschaltet.
-
Malte H. kommentierte
Ist das mittlerweile umgesetzt oder wird immer noch jedes Zertifikat akzeptiert? Ich verwalte zwei CCUs und habe auf beiden valide SSL Zertifikate und bin bisher davon ausgegangen, dass Tinymatic die entsprechend validiert. Sollte das nicht so sein, dann wäre die Option tatsächlich überflüssig, da MITM problemlos möglich.
-
Maximilian kommentierte
Super, danke! :)
-
AdminPhilipp Ebert (Developer, TinyMatic) kommentierte
Schreib mir mal eine Mail an support@tinymatic.de, dann schick ich dir eine Testversion :)
-
Maximilian kommentierte
Wäre es möglich diese Idee zu sponsern? Was kostet eine Umsetzung aus deiner Sicht?
-
Maximilian kommentierte
Man kann ein Zertifikat mit Hilfe von Let's Encrypt erstellen und auf die Homematic hochladen, dann wird dieses Zertifikat auch auf den gängigen Plattformen erkannt, u.a. auch Android.
-
AdminPhilipp Ebert (Developer, TinyMatic) kommentierte
Meines Wissens nach ist das SSL-Zertifikat der CCU das auf der CCU hinterlegt wird selbsterstellt und müsste auf dem Android-Gerät erst hinterlegt werden.. liege ich hier falsch?