KPN Box 12 modem certificaat verlopen?

De updates zijn aan de gang, eerst voor een beperkte doelgroep en wordt steeds verder uitgebreid @MaartenHoes , een kwestie van lange adem.

Ja ... er is een update die nu mondjesmaat uitgerold word bij klanten die geen WiFi versterkers hebben.

Grappige is dat het https certificaat bij deze update gewoon helemaal verwijderd is 😄

Dus gebruik gewoon http://mijnmodem.kpn/. Zonder s dus. Dan heeft u hetzelfde als na de update 😉

Klopt, zoals al vier maanden geleden bevestigd is in de Product update door moderator Erik

bron → KPN Box 12: Update naar KPN Software V12.C.23.04.28 | KPN Community

Mensen, bedankt voor de info. Maar ik hou de ziljoenen (dat is een officieel getal) posts op het forum niet bij - 4 maanden geleden of niet.

Wel zou ik dan graag van een KPN medewerker zelf willen horen wat de motivatie is voor het verwijderen van een (TLS) encrypted connectie naar het modem (wat vervalt zonder certificaat). Ja, ik begrijp dat KPN dan niet meer ieder jaar of 2 jaar een update met een nieuw certificaat hoeft uit te rollen, wat hun leven simpeler maakt. Maar in een tijd waar alle niet encrypted verbindingen als een security risk gezien worden - ook in een 'eigen' netwerk, 'zero trust' - vind ik het op zijn zachts gezegd vreemd dat de KPN hier voor kiest.

Dat certificaat moet dus telkens verlengt worden. Zoals u zelf ook al schrijft. En daar is KPN afgelopen jaren meerdere keren te laat mee geweest. Maanden lang te laat. Want dan werd er gewacht op een volgende update, waar het nieuwe certificaat gelijk in zou zitten. En door allerlei reden liep dan die update vertraging op. Waardoor het echt maanden duurde voordat er een nieuw certificaat was.

Tevens werkt het certificaat niet als mensen een andere DNS server gebruiken. Want het certificaat werkt alleen op mijnmodem.kpn. En mijnmodem.kpn werkt alleen als de KPN Box als DNS server ingesteld staat.

Sommige mensen stellen zelf een andere DNS in. Maar ook Sommige beveiligingspakketten stellen soms automatisch een alternatieve "veilige" DNS in. Of mensen gebruiken een Netgear Orbi of TP-Link Deco setje wat een andere DNS gebruikt waardoor het ook weer niet werkt.

Andere modems/routers/webcams en andere apparaten hebben meestal ook geen https op het lokale netwerk. En dat is niet voor niets. Het levert veel te veel problemen op ivm ondersteuning.

Daarnaast speelt er nog een ander probleem. KPN  kan zelf dat certificaat niet maken. Dat moet uitgeven worden door een officiële CA. En een certificaat laten maken voor een domeinnaam die niet vanaf internet beschikbaar is en waarvan het de bedoeling is dat die op 1000en modems geïnstalleerd zal worden, dat is maatwerk. Daarvoor zal KPN een flinke som geld moeten maken. Tot voor kort hadden we hier in Nederland zo'n CA waar KPN volgens mij nauw mee samenwerkte. Maar die is er niet meer...

Goed verhaal. Lekker kort.

Maar dat neemt niet weg dat het hiermee voor *iedereen* onmogelijk gemaakt word om nog een encrypted verbinding te maken met een belangrijk (of zelfs kritiek) stuk van het netwerk. Wederom, in een tijd waar alle niet encrypted verbindingen als een security risk gezien worden - ook in een 'eigen' netwerk, 'zero trust' - vind ik het op zijn zachts gezegd vreemd dat de KPN hier voor kiest. En nogmaals, ik zou dan wel graag van een *KPN medewerker zelf* willen horen wat de motivatie is voor het verwijderen van een (TLS) encrypted connectie naar het modem.

PS: Als je er door eigen toedoen voor kiest om TLS onmogelijk te maken, kies je er dan ook zelf voor om een unencrypted verbinding te maken. Maar dat kan niet de default zijn. En als je voor zo’n setup slim genoeg bent, kun je vast ook wel een manier bedenken om in jouw specifieke setup alle requests voor 'mijnmodem.kpn' te laten wijzen naar '192.168.2.254'.

En ik heb het nog wat langer gemaakt 😉

Ach, kijk nou, wat leuk, een bewerkte post, nadat ik al gereageerd had.

En, wat blijkt? Anderen hebben ook een beroerde beveiliging. Alsof dat geen problemen met security heeft opgeleverd. What could possibly go wrong ? En als anderen in de sloot springen, doe ik het ook maar.

Wel eens van "Let's Encrypt" gehoord ? Geheel gratis en volledig geautomatiseerde certificate updates.

Ten eerste zijn die gratis certificaten maar 3 maanden geldig. Dus dat zou nog een grotere nachtmerrie opleveren voor KPN. En ten 2de: daarvoor moet het domein vanaf internet beschikbaar zijn. En dat is het niet. 

Natuurlijk zou KPN via 1 of ander tucje een certificaat kunnen laten genereren. Maar als Let's Encrypt daar achter komt zullen ze het certificaat ongetwijfeld meteen blokkeren. De salarissen moeten daar ook gewoon betaald worden. Dus die staan zoiets echt niet toe. Vergeet dat maar. Die zullen daar geld voor willen zien.

Sorry, maar "Lets's Encrypt" is geen commerciële organisatie. Het is letterlijk een non-profit, en letterlijk iedereen kan hun certificaten afnemen. Blijkbaar heb je je huiswerk niet gemaakt. En ja, ze zijn beperkt houdbaar. Maar de updates zijn volledig te automatiseren. 'Fire & Forget". Easy-peasy.

Voor wat betreft dat het domein vanaf internet beschikbaar moet zijn, heb je wel een punt. Maar ook voor dat probleem zijn praktische oplossingen, ook in andere richtingen.

Punt is, dat als je er even over nadenkt, er betere oplossingen zijn te bedenken dan 'we doen maar helemaal geen TLS meer'.

En als je het verder niet erg vind, ga ik nu echt even wachtten op een reactie van een KPN medewerker, en deze flame-war van jou verder negeren.

Oww, en wederom de tekst van de post veranderd (maar deze keer niet in een betekenisvolle zin), nadat ik al gereageerd had. Wat schattig allemaal.

Houd rekening met een flinke wachttijd. Door drukte en vakantieperiode is die opgelopen tot zo'n 5 dagen.

Let's Encrypt is gewoon geen optie voor deze consumenten-modems. Zoals @Nick83 zei zijn de modems niet vanaf buitenaf bereikbaar. Dus het certificaat kan nooit aangemaakt worden.

Misschien zijn er workarounds door unieke hostnames te gebruiken zoals Fritz! doet, maar ik vrees dat dit softwarematig of hardwarematig niet binnen de mogelijkheden van de leverancier ligt.

En een certificaat markt het alleen maar complexer, is al verteld. Bevalt het niet, dan schaf je een andere modem aan. Iedereen heeft tegenwoordig vrije modemkeuze. 

Ik gebruik ook Let’s Encrypt op mijn EdgeRouter.

Ik heb daarbij in de task scheduler een taak vastgelegd die elke 14 dagen kijkt of het certificaat vernieuwd moet worden. Ik heb er dus geen omkijken meer naar.

Daar heb je een punt maar wat KPN feitelijk zou moeten kunnen is een nieuw certificaat naar de Experia/KPN boxen pushen zonder dat daarvoor een nieuwe firmware uitgerold hoeft te worden.

Het vervelende is dat veel browsers tegenwoordig standaard https:// invullen voor een URL als de gebruiker niet zelf http:// voor de URL geplaatst heeft.

Bedankt voor de info. Dan ga ik daar even rustig op wachtten.

Je (fysieke) voordeur open laten staan is ook simpeler dan een goed slot gebruiken en hem op slot te doen, maar dat maakt het nog geen goede keuze.

Wat een dooddoener. "Bevalt het je niet ? Koop je toch gewoon wat anders !" Kijk, het is natuurlijk prettig dat er de *mogelijkheid* is om voor andere apparatuur te kunnen kiezen, met name wanneer het om functionaliteiten gaat die de 'meeste' consumenten niet nodig zullen hebben. Maar iets fundamenteels als een beveiligde verbinding met het modem kunnen hebben, zou toch echt door de standaard apparatuur geleverd moeten worden.

Ja, dat lijkt mij ook.

@MaartenHoes Ik zie niet echt het probleem voor iets wat enkel vanuit binnen bereikbaar is. Waarom zou jij een TLS-certificaat willen voor iets op je eigen interne netwerk?

Als het buitenaf was, snap ik het. Maar dan zou ik eerder aan een VPN denken.

Omdat er met de huidige best security practices niet langer zoiets bestaat als een 'veilig/vertrouwd netwerk'. Zero trust.

Ik heb eerlijk gezegd in het algemeen weinig mensen hierover horen klagen. Als je 'zero trust' zegt is mijn eerste gedachte, hoe bot het misschien ook mag klinken: "Besteed je netwerkbeheer uit". Want blijkbaar vertrouw je het niet. 

Een certificaat zou theoretisch wel kunnen via een push-systeem. Maar het feit dat er geen certificaat is, kan ik alleen niet rijmen met jouw beargumentatie. 

Dat zou kunnen, ik heb het in ieder geval niet rechtstreeks in de release notes terug kunnen vinden. (Wel verborgen ergens in de rest van die thread, maar als men die posts er in deze thread niet voor mij uitgelicht had, dan had ik het niet gevonden en pas gezien na de update).

Het heeft niets te maken met het 'uitbesteden' van je beheer of niet. Het punt is dat de tijd voorbij is dat er nog langer sprake is van een 'extern/onveilig' en een 'intern/veilig' netwerk. 'Zero trust' is een ICT term die dit soort zienswijze verder uitwerkt. Het komt erop neer dat niet alleen ik mijn netwerk niet kan vertrouwen, jij kan het jouwe ook niet vertrouwen, en anderen ook het hunne ook niet.

Dat lijkt mij ook.

Geeft niet, ik kan jou beargumentatie ook niet volgen.

Ik snap jouw punt dat je ook op het LAN zelf “voorzichtig” moet zijn maar het is natuurlijk wel zo dat je feitelijk met de beveiliging te laat bent als er op jouw LAN netwerkverkeer onderschept wordt door kwaadwillenden. Die zijn dan immers al door de voordeur op jouw LAN terechtgekomen.

Natuurlijk kan het het zo zijn dat een IoT device of een app op computer, telefoon of tablet kwaadwillende software bevat maar dan is mijns inziens de enig juiste beveiliging het afzonderen van IoT apparatuur op een eigen vlan met client isolation en goede virusscanners op computers, telefoons en tablets.

Even specifiek op dit argument ingaande: Het is ook een best practice om meerdere 'lagen' in je beveiliging aan te brengen, zodat wanneer kwaadwillenden door 1 laag heen gebroken zijn, ze niet meteen toegang tot 'alles' hebben. Het versleutelen van al je verbindingen is 1 van die lagen.

Een hypothetisch voorbeeld: stel dat er een fout/bug zit in de wifi implementatie van jouw access point (of zelfs een onvolkomenheid in de wifi specificatie zelf), waardoor mensen van 'buiten' jou netwerk toch verkeer kunnen onderscheppen van jouw LAN. Dan kan die kwaadwillende hier nog steeds niet zo heel veel mee (of in ieder geval 'minder') als al jouw verbindingen verder versleuteld zijn.

Ok. Het lijkt mij dat de eerder door @RBxx genoemde 'flinke wachttijd' van "zo'n 5 dagen" nu toch echt wel bereikt is ? Zou ik dan toch nog even van een medewerker van KPN een formeel standpunt/uitleg kunnen krijgen waarom een beveiligde TLS verbinding naar het modem komt te vervallen (wegens het ontbreken vaan een SSL/TLS certificaat op die nieuwe versie van de modem software/firmware) ?

Sorry, ik had dit topic zelf uit het oog verloren, maar de moderators kennelijk ook.

Ik heb ze meteen ingeseind.