SSL support aktivieren

  • Hallo, ich habe einen Shelly-NG 1PM und würde gerne https aktivieren.

    Siehe auch SSL support for outbound connections in der API Doku.

    Werde allerdings nicht ganz schlau daraus. Hat jemand im Forum schon Erfahrung damit?

    In der 0.8.1 GUI finde ich dazu keinen Menü-Punkt. :(

  • was genau hast du denn vor? einen Webhook auf eine externe Adresse jagen oder an welcher Stelle benötigst du das?
    zumindest unter Firmware 0.9 Beta1 geht das direkt und braucht nicht aktiviert zu werden..


    dazu reicht es, wenn im Webhook die https-Adresse angegeben wird..
    pasted-from-clipboard.png

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

    Edited once, last by Seven of Nine ().

  • wie meinst du das mit RPC via https? der Shelly(Webserver) selbst kann kein SSL/TLS und dementsprechend sprichst du ihn von extern via http an, also z.B. http://<shelly-ip>/rpc/Shelly.GetStatus

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

  • Schade, hatte es so verstanden, dass der Shelly NG Web-Server https kann.


    Wollte ihn mit

    https://<shelly-ip>/rpc/Shelly.GetStatus

    ansprechen.

  • Schade, hatte es so verstanden, dass der Shelly NG Web-Server https kann.

    nee, das gilt nur für outbound (also ausgehende) Verbindungen..


    das Webinterface kann kein SSL/TLS, denn dazu müsste man dem Shelly ein Zertifikat (von einer CA ausgestellt) hochladen und anschließend den Shelly über z.B. https://shellyname.netzwerkname.local ansprechen..

    ich kann mir kaum vorstellen, dass viele Anwender eine eigene CA zuhause betreiben und sie auch noch korrekt bedienen können ;)


    Sinn und Zweck eines Zertifikats ist es ja, die Echtheit eines Namens (FQDN) zu bestätigen.. eine verschlüsselte Verbindung auf eine IP-Adresse kann nicht valide sein.

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

  • Seven of Nine :
    Naja, ich dachte, das zumindestens ein Self-signed certificate wie es bspw auch eine Fritzbox anbietet möglich ist:

    ...

    In certificate applications outside of HTTPS in a web browser, self-signed certificates have different properties. For instance, if an HTTPS or TLS server is configured with a self-signed certificate, non-browser clients that will connect to that server may be configured to explicitly trust that specific self-signed certificate. So long as the configuration information for the client is provided securely, and the configuration is done correctly, this can result in secure communication between the client and the server that is not vulnerable to MitM.

    ...

  • Etwas OffT: Das ist dann auch der Grund dafür, dass ich beim Zugriff (HTTPS) immer das Sicherheitsrisiko akzeptieren muss, trotz Zertifikat in der Synology?

    Exakt, da kriegst du zwangsweise eine Warnung wie diese hier:

    pasted-from-clipboard.png

    Naja, ich dachte, das zumindestens ein Self-signed certificate wie es bspw auch eine Fritzbox anbietet möglich ist:

    Stand jetzt ist das nicht möglich aber das muss nicht zwangsweise bedeuten, dass Allterco das nicht irgendwann möglich macht..


    Bei MQTT z.B. ist es ja mittlerweile sogar möglich ein eigenes CA-Zertifikat auf den Shelly hochzuladen, damit kriegt man die Verbindung (über den Hostnamen) tatächlich valide hin..


    pasted-from-clipboard.png

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

  • 1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

  • .. eine verschlüsselte Verbindung auf eine IP-Adresse kann nicht valide sein.

    Das ist so nicht ganz korrekt. Man kann einem ausgestellten Zertifikat sehr wohl auch eine IP Adresse zuordnen (über IP.1 = xxx.xxx.xxx.xxx in der openssl Konfigurationsdatei z.b.). Genau das mache ich bei all meinen Zertifikaten zu Hause und kann auf die Geräte im Web Browser auch per IP zugreifen ohne eine Warnung akzeptieren zu müssen. Dies ist aber natürlich nicht überall sicher und NUR in einem internen Netzwerk sinnvoll, wo man die IP Adressen selber unter Kontrolle hat.


    Gruss

  • Talkabout danke für den Hinweis, wieder was gelernt.. :) hab das tatsächlich nie ausprobiert und auch bei einer eigenen CA immer mit Namen gearbeitet, weil ich es von öffentlichen CAen so gewohnt war..

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

  • Hallo

    verstehe ich das jetzt richtig das ich mit dem neuen Shelly jetzt auch direkt Telegramnachrichten per URL versenden kann?

    ja, das verstehst du richtig :)

    1x Shelly4ProPlus, 10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion