Warum ist das Zertifikat zwischen 443 und 5061 unterschiedlich?

  • Warum wird am Port 443 das hochgeladene Zertifikat im WebGUI angezeigt und auf Port 5061 irgend ein komisches Zertifikat?
    Damit ist meine SIPs Verbindung doch gar nicht mehr zu validieren?

    Und woher weiß die Starface App das wirklich das richtige System hinter der 5061 steht?

  • Ich habe mich damit mal ein bischen beschäftigt, weil ich versucht habe mit WIreshark SIPS / SRTP Verkehr zu entschlüsseln.

    Für Asterisk wird ein separates Asterisk.pem file verwendet.

    /etc/asterisk/keys/asterisk.pem
    /var/starface/srtpcerts/asterisk.pem

    Diese werden verwendet, um die TLS Zertifiakte für SIPS und SRPT zu erstellen.

    So wie ichs verstanden habe, führt das Ersetzen dieses Zertifikats dazu, dass alle bestehenden Geräte mit SIPS sich nicht mehr verbinden können, es sei denn, sie bekommen das neue TLS Zertifikat irgendiwe zugewiesen.

    Weiss nicht ob dies der Grund ist, weshalb dieses PEM nicht an das Webserverzertifikat gebunden ist.

    MfG

    Fabian

  • Ich habe mich damit mal ein bischen beschäftigt, weil ich versucht habe mit WIreshark SIPS / SRTP Verkehr zu entschlüsseln.

    Für Asterisk wird ein separates Asterisk.pem file verwendet.

    /etc/asterisk/keys/asterisk.pem
    /var/starface/srtpcerts/asterisk.pem

    Diese werden verwendet, um die TLS Zertifiakte für SIPS und SRPT zu erstellen.

    Nein, das PEM-File wird nicht zum Erstellen des TLS-Zertifikats verwendet, sondern es enthält das CA-Zertifikat, welches gleichzeitig das Server-Zertifikat ist UND den zugehörigen Private Key. Es ist also das Ergebnis einer Erstellung. Das sieht man daran, dass im subject die IP-Adresse der Anlage als commonName eingetragen ist.

    Mit diesem Zertifikat weist sich die STARFACE-Anlage also gegenüber den Telefonen aus.

    So wie ichs verstanden habe, führt das Ersetzen dieses Zertifikats dazu, dass alle bestehenden Geräte mit SIPS sich nicht mehr verbinden können, es sei denn, sie bekommen das neue TLS Zertifikat irgendiwe zugewiesen.

    Das liegt nur daran, dass im Rahmen der Provisionierung das Endgerät so konfiguriert wird, dass es nur vertrauenswürdige Zertifikate akzeptiert und das von der STARFACE selbst erstellte CA-/Server-Zertifikat in die Liste der benutzerdefinierten vertrauenswürdigen CAs aufgenommen wurde.

    Ansonsten sind noch knapp 80 von Yealink integrierte Zertifikate vertrauenswürdig. Wenn man das Zertifikat ersetzt, muß man lediglich schauen, dass es entweder von einer vertrauenswürdigen CA (aus der Liste der Integrierten) signiert wurde oder man ist selbst die CA und muß sein signierendes CA-Zertifikat dann auf die Telefone provisionieren.

    image.png

  • Das liegt nur daran, dass im Rahmen der Provisionierung das Endgerät so konfiguriert wird, dass es nur vertrauenswürdige Zertifikate akzeptiert und das von der STARFACE selbst erstellte CA-/Server-Zertifikat in die Liste der benutzerdefinierten vertrauenswürdigen CAs aufgenommen wurde.

    Die Starface CA wurde von Yealink in die Firmware mit aufgenommen?
    Das bedeutet aber das ich auf jedem (dritten) SIPs Client die Starface CA installieren muss...

    Wie läuft das bei der Starface App, wird hier das Zertifikat validiert?
    Ist das eigentlich irgendwo dokumentiert?

  • Es handelt sich bei dem CA-Zertifikat nicht um eine externe STARFACE CA, sondern um ein von der Anlage erzeugtes Zertifikat, das im Rahmen der Provisionierung auf die Endgeräte konfiguriert wird (sofern unter Telefone/Sicherheit die "Verschlüsselung für Provisionierung, Menüs und Telefonie" aktiviert wird).

    Deshalb haben Anlagen-/CA-Zertifikat auch das Erstellungsdatum der Installation und ein Ablaufdatum 20 Jahre in der Zukunft.

    Ob ein Client das Zertifikat validiert, ist Angelegenheit des Clients – so wie es Angelegenheit der Anlage ist, ein mögliches Clientzertifikat zu validieren.
    Mir wäre nicht bekannt, dass der UCC-Client eine solche Validierung durchführt; ich nehme es aber nicht an, da der Client völlig autark installiert werden kann und die UCI keine Zertifikate ausrollt.

    Was deine Frage bzgl. der Installation des Zertifikats angeht:
    Du kannst dein eigenes Zertifikat installieren, dieses muß dann aber von einer vertrauenswürdigen CA signiert worden sein – oder Du machst es wie die STARFACE und packst es händisch in die Liste der vom Telefon akzeptierten CAs.

  • Es handelt sich bei dem CA-Zertifikat nicht um eine externe STARFACE CA, sondern um ein von der Anlage erzeugtes Zertifikat, das im Rahmen der Provisionierung auf die Endgeräte konfiguriert wird (sofern unter Telefone/Sicherheit die "Verschlüsselung für Provisionierung, Menüs und Telefonie" aktiviert wird).

    Dann sollte die CA doch als Download über das WebGUI angeboten werden (ja ich komme auch über SSH ran...)

    Mir wäre nicht bekannt, dass der UCC-Client eine solche Validierung durchführt; ich nehme es aber nicht an, da der Client völlig autark installiert werden kann und die UCI keine Zertifikate ausrollt.

    Wenn die Starface App das Zertifikat nicht validiert (was technische nicht geht da pro Anlage generiert) würde ich diese nicht über eine normale Internetverbindung benutzten. Ja die Kommunikation ist verschlüsselt keine Frage, aber so richtig TLS ist das dann nicht weil MITM nicht auffallen würden.

    Du kannst dein eigenes Zertifikat installieren, dieses muß dann aber von einer vertrauenswürdigen CA signiert worden sein – oder Du machst es wie die STARFACE und packst es händisch in die Liste der vom Telefon akzeptierten CAs.

    So mache ich das schon lange, deshalb habe ich mich auch gewundert warum 5061 TLS nicht mit meiner CA zufrieden ist obwohl das Webinterface geht.

    Ich finde meine Lösung, schön ist das Thema aber nicht, auch wenn es technisch nicht so einfach zu lösen ist.

  • Dann sollte die CA doch als Download über das WebGUI angeboten werden (ja ich komme auch über SSH ran...)

    Denk dran, dass die PEM-Datei den Private-Key enthält!
    Wäre diese über die Weboberfläche herunterladbar, wäre das ein ernstes Problem. Aber ja, das Zertifikat selbst sollte herunterladbar sein...

    Wenn die Starface App das Zertifikat nicht validiert (was technische nicht geht da pro Anlage generiert) würde ich diese nicht über eine normale Internetverbindung benutzten. Ja die Kommunikation ist verschlüsselt keine Frage, aber so richtig TLS ist das dann nicht weil MITM nicht auffallen würden.

    Ja richtig, Verschlüsselung selbst ist wenig wert, wenn ein MITM dazwischen sitzt... und das ist genau der Zweck einer Zertifikateprüfung.
    Das nächste Problem ist jedoch: Vielleicht tummeln sich in den knapp 80 CA-Zertifikaten, die auf dem Telefon vorinstalliert sind, auch CAs, die vielleicht nicht vertrauenswürdig sind.
    Dir geht es aber primär um die App/den Client, richtig?

  • Das nächste Problem ist jedoch: Vielleicht tummeln sich in den knapp 80 CA-Zertifikaten, die auf dem Telefon vorinstalliert sind, auch CAs, die vielleicht nicht vertrauenswürdig sind.

    Das ist keine Frage, da bin ich ganz bei dir.

    Ich persönlich mag es einfach nicht das eine TLS Verbindung offeriert wird aber dann ganz still und heimlich die Validierung deaktiviert ist.
    Leider ist das bei vielen anderen Projekten auch so...

    Dir geht es aber primär um die App/den Client, richtig?

    Ja das passt schon, ich schaue das ich die CA auf meinen Clients verteile, kein Problem.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!