Waarom geen HTTPS (TLS) voor de web interface?

DJL Suls

Op de xxter unit wordt er op 2 poorten geluisterd: de applicatie poort (standaard 2199) en de webinterface poort (standaard 8000). Nu heb ik begrepen dat er SSL/TLS encryptie gebruikt wordt bij de applicatie-verbinding, maar de webinterface gebruikt helemaal geen encryptie.

Aangezien je ook je inloggegevens verstuurd naar de web interface, is het erg onveilig om dit niet te versleutelen. Waarom is hier geen HTTPS beschikbaar?

Harm Elzinga

De meeste instellingen via de webtoegang zijn bedoeld voor gebruik binnen het eigen netwerk. Zaken als de scenes, planner e.d. zijn allemaal via de app aan te passen. Op de lokale netwerk is de noodzaak voor HTTPS minder. Dat maakt de vraag niet minder belangrijk, alleen is dit de reden dat er tot nu toe andere zaken meer prioriteit hebben gehad.

Deze feature staat al enige tijd op onze wensenlijst, en ik verwacht ook dat dit op redelijk (kort) termijn zal worden toegevoegd.

Bedankt voor het meedenken en hopelijk heb ik hiermee je vraag beantwoord.

DJL Suls

Bedankt voor het antwoord! Dat vind ik verder prima.

Het is misschien wel het overwegen waard om, tot de HTTPS ondersteuning er is, expliciet in de documentatie te vermelden dat het afgeraden wordt om deze interface te openen naar het internet toe (m.a.w. poort te openen in de router), en dat de web interface enkel bedoeld is voor het interne netwerk.

P.N. van Kampen

Letsencrypt.org zou mooi zijn.

Harm Elzinga

Sinds versie 2.4 is het mogelijk om de webtoegang van xxter via HTTPS te benaderen en met versie 2.5 is het ook mogelijk om poort 8000 met HTTPS te gebruiken. Bovendien worden gebruikers sinds deze versie aangeraden altijd via HTTPS verbinding te maken. Meer informatie hierover vindt u elders op het forum: Inlog via HTTPS