Nuovo firmware Fritzbox 7490

[ArchiPit]

Stranamente il mio 7490 non mi ha detto nulla fino ad ora, pur essendo
abilitato a farlo, comunque dal 8.1.18 c'è la nuova release 6.84 del
firmware.

Questo è il link ftp per prelevarlo

ftp://ftp.avm.de/fritzbox/fritzbox-7490/other/fritz.os/

e nel livello superiore c'è anche il tool di recover.

[Gabriele - onenet]

Buongiorno,

mi capiti a fagiolo :-D

Mi sono accorto, facendo una scansione della LAN, che i Fritz usano ancora TLS 1.0 e chiavi relativamente deboli; siccome nelle beta di questo ultimo firmware avevano aggiunto Let's Encrypt ma solo se ti colleghi dal loro cloud (non se lo fai direttamente dall'esterno o dentro la LAN), mi ero lamentato con AVM.
Hanno risposto in modo un po' sciocco, ho rincarato la lamentela e allora mi hanno linkato questa pagina per segnalare:
https://en.avm.de/fritz-lab/fritz-lab-for-fritzbox-7490-and-7590/your-feedback/

Quindi se ti va scrivi anche tu che nel 2018 sarebbe il caso di non avere certificati auto firmati e TLS 1.0.

Grazie :-)

Gabriele

[ArchiPit]

Rispondo quì sotto a Gabriele - onenet

> Quindi se ti va scrivi anche tu che nel 2018 sarebbe il caso di non avere
> certificati auto firmati e TLS 1.0.

Sicuro, e grazie a te della segnalazione (anche se sono del tutto
ignorante riguardo ai temi dei certificati e dei protocolli di
sicurezza).

Mi dici come posso capire che il protocollo usato è TLS 1.0?
Dovrei guardare dentro alla configurazione del fritz tra i protocolli
usati o usare qualche tool esterno?

[ArchiPit]

Rispondo quì sotto a Allen


> ArchiPit <Bruram48C...@LeTreDiNotteVirgilio.it> wrote in news:pacqua
> $168b$1...@gioia.aioe.org:

>
>> Stranamente il mio 7490 non mi ha detto nulla fino ad ora
>

> E quando mai ha detto qualcosa? Io controllo periodicamente dai 9 ai 12 mesi.

Mah...

C'è una opzione nella configurazione del fritz che abilita l'invio di
un mail con l'avviso della nuova release in sistema, aggiornamento,
aggiornamento automatico; con spuntato la casella "Informare delle
nuove versioni di FRITZ!OS" tramite mail push, che naturalmente deve
essere configurato.

Nelle release precedenti i mail mi erano sempre pervenuti e tuttora mi
mando e ricevo ogni giorno il mail di informazione sugli eventi del
giorno prima.

[Gabriele - onenet]

Allora, noto ora una differenza, se ti colleghi usando il loro sistema di dominio c'è TLS 1.2 ma sempre con firma SHA1 e non SHA2 oltre a parametri di scambio delle chiavi un po' leggeri. Puoi provare così:
https://www.ssllabs.com/ssltest/analyze.html?d=QUI-METTI-IL-TUO-VALORE.myfritz.net&hideResults=on

Però la cosa del TLS 1.0 mi era uscita usando uno scanner di F-Secure che sto testando (è una cosa per fare analisi in vista del GDPR) perché è la versione indicata come la prima da usare in ordine di preferenza! Cioè anche se c'è TLS 1.1/1.2 viene data prima la più vecchia.
A me pare una cosa un po' strana.

Ad ogni modo adesso aggiorno il firmware, poi rifaccio la scansione e vediamo se ci sarà differenza. Certo è che col certificato auto-firmato anche se dal browser disabiliti TLS 1.0 lo prende lo stesso.

ciao
Gabriele

[Gabriele - onenet]

Ah comunque neanche il mio 7490 dice che c'è una nuova versione, non è che è ancora la beta?

[ArchiPit]

Rispondo quì sotto a Gabriele - onenet


> On Sunday, April 8, 2018 at 4:24:42 PM UTC+2, ArchiPit wrote:
>> Rispondo quì sotto a Gabriele - onenet
>>
>>> Quindi se ti va scrivi anche tu che nel 2018 sarebbe il caso di non avere
>>> certificati auto firmati e TLS 1.0.
>>
>> Sicuro, e grazie a te della segnalazione (anche se sono del tutto
>> ignorante riguardo ai temi dei certificati e dei protocolli di
>> sicurezza).
>>
>> Mi dici come posso capire che il protocollo usato è TLS 1.0?
>> Dovrei guardare dentro alla configurazione del fritz tra i protocolli
>> usati o usare qualche tool esterno?
>
>
> Allora, noto ora una differenza, se ti colleghi usando il loro sistema di
> dominio c'è TLS 1.2 ma sempre con firma SHA1 e non SHA2 oltre a parametri di
> scambio delle chiavi un po' leggeri. Puoi provare così:
> https://www.ssllabs.com/ssltest/analyze.html?d=QUI-METTI-IL-TUO-VALORE.myfritz.net&hideResults=on

Spero che myfritz sia un ddns...io ho dyndns, quindi presumo di dovere
mettere il mio ddns. Solo che ho configurato il fritz cambiando la
porta standard da usare per queste prove e non mi risolve il dominio...
Non ho voglia di alterare una configurazione che funziona, allora quasi
quasi resetto il fritz tanto ho salvato la configurazione, faccio la
prova e poi il restore...ma lo farò domani che ora mi guardo la formula
1

> Ad ogni modo adesso aggiorno il firmware, poi rifaccio la scansione e vediamo
> se ci sarà differenza. Certo è che col certificato auto-firmato anche se dal
> browser disabiliti TLS 1.0 lo prende lo stesso.
>
> ciao
> Gabriele

Ciao, grazie dei suggerimenti.

[ArchiPit]

Rispondo quì sotto a Gabriele - onenet

> Ah comunque neanche il mio 7490 dice che c'è una nuova versione, non è che è
> ancora la beta?

No, è una versione definitiva.

[Gabriele - onenet]

Hai ragione.
Aggiungo una precisazione a quanto avevo scritto la prima volta ossia che Let's Encrypt ci sarà sulle prossime versioni (adesso è sulle beta) e che nella 6.84 non c'è niente di particolare riguardo la sicurezza; così almeno mi hanno risposto da AVM.

[ilchierico]

On 08/04/2018 22:35, ArchiPit wrote:

>> Ah comunque neanche il mio 7490 dice che c'è una nuova versione, non è
>> che è ancora la beta?
>
> No, è una versione definitiva.

Ringrazio entrambi visto che dopo esser rientrato usando
news.giganews.com ho controllato ed ho notato che neanche il mio 7490
riusciva a scaricarsi l'aggiornamento.

Mi sto scaricando tutto, eseguiro' con calma un bel backup e poi
provero' nel fine settimana ad aggiornare il Fritz.

E se sparisco dalla circolazione e vedete pure una nuvoletta a mo' di
fungo atomico sopra il Nord Italia, saprete per primi cosa mi sara'
successo e perche' non rispondero' alle vostre lamentele :-D