SSL-Interception an = Zugriff auf versch. SSL-Seiten nicht mehr möglich!

palzer.IT · Beitrag von **palzer.IT** » Di 12.04.2016, 14:40

Hallo Forum,

nachdem ich SSL-Interception eingerichtet habe (aktiviert und CA-Zertifikat der Firewall in die Browser installiert) komme ich auf einzelne HTTPS-Seiten nicht mehr drauf.
Es kommt da immer nur eine Fehlermeldung der Firewall (RC300 mit v11.6.4):

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL:

https://DOMAINNAME.DE/

Failed to establish a secure connection to IP-ADRESSE

The system returned:

[No Error] (TLS code: SQUID_X509_V_ERR_DOMAIN_MISMATCH)

Certificate does not match domainname:

/serialNumber=YnFcKoUlVu1DhcIaoJxVwNDp/tTAKrDm/OU=GT17804807/OU=See www.rapidssl.com/resources/cps

(c)14/OU=Domain Control Validated - RapidSSL(R)/CN=*.DOMAIN.de

This proxy and the remote host failed to negotiate a mutually acceptable security settings for

handling your request. It is possible that the remote host does not support secure connections, or

the proxy is not satisfied with the host security credentials.

Your cache administrator is XXXX@XXXXX.DE

Auf andere SSL-Sites funktioniert es problemlos - das Schloss ist grün

Selbst wenn ich die Zertifikatsverifizierung deaktiviere ändert sich an dem Zustand nix.

Was kann ich noch machen, außer SSL-Interception zu deaktivieren?

Im Voraus vielen Dank
Stephan Palzer

Beitrag von **Erik** » Di 12.04.2016, 15:10

Das liegt hieran

palzer.IT · Beitrag von **palzer.IT** » Di 12.04.2016, 15:19

Hi Eric,

ja, den Thread hatte ich auch gesehen - aber ich dachte mir, dass das ja bei dieser Seite nicht das Problem sein kann.
Die Fehlermeldung kommt bei https://support.securepoint.de

Die Seite sollte ja mit der Securepoint-Firewall kompatibel sein... ich kommt nur ins Forum, wenn ich SSL-Interception deaktiviere.

Viele Grüße von der schwäbischen Alb
Stephan Palzer

Beitrag von **Bjoern** » Mi 13.04.2016, 07:44

Hallo,

wird der transparente Modus benutzt oder ist der Proxy fest eingetragen? Das Zertifikat ist am Client installiert? Der Firefox greift auf eine eigene Zertfikatsverwaltung zurück.

Gruß Björn

palzer.IT · Beitrag von **palzer.IT** » Mi 29.06.2016, 13:29

Hi Björn,

Es wird der transparente Modus benutzt - der Proxy ist beim Client/Browser nicht hinterlegt. das Zertifikat ist beim InternetExplorer und Firefox hinterlegt (sonst geht nicht mal https://www.google.com).

Laut SP-Support liegt das Problem mit dem Support-Forum daran, dass bevor das Forum geladen wird, eine Tracker-Website kontaktiert wird, welche ein anderes SSL-Zertifikat aufweist - dieses passt dann nicht mehr zur ursprünglichen URL und deshalb lehnt die Firewall die Verbindung ab.

Dieses Phänomen kommt auch bei vielen anderen Websites vor - Laut Support wird das Problem mit der Firmware 11.7 behoben.

Ich hoffe die kommt bald, da ich nun nur das SSL-Interception deaktivieren konnte um das Problem zu beheben - ich möchte nämlich nicht bei allen Browsern manuell einen Proxy eintragen!

Gruss
Stephan

Beitrag von **Erik** » Mi 29.06.2016, 13:41

"Laut SP-Support"? Da würde ich gerne mal einen Namen wissen... Damit, dass nach dem Laden des Forums eine Tracking-Website kontaktiert wird, hat das nämlich nichts zu tun. Problem ist die fehlende Unterstützung der "Server Name Indication" im HTTP-Proxy.

palzer.IT · Beitrag von **palzer.IT** » Mi 29.06.2016, 13:47

Hi Erik,
den Namen hab ich leider nicht notiert ... aber es hakt wohl tatsächlich am Proxy der Firmware - bei der 11.7 soll er erneuert werden.
Vermutlich taucht das SNI-Problem auf, wenn die Tracking-Site kontaktiert wird.... wäre die Funktion richtig implementiert, sollte es den Fehler nicht geben.

Gruss
Stephan

fuchskusu · Beitrag von **fuchskusu** » Di 17.01.2017, 23:30

Hallo,

gibt es etwas neues zu diesem Thema, d.h. funktioniert die SLL Interception jetzt?

Scheint sich ja seit 1 Jahr nichts zu tun bezüglich Update?

Danke für eine Auskunft.

Mfg
Eric

palzer.IT · Beitrag von **palzer.IT** » Mi 18.01.2017, 09:46

Hi Eric,

es hat sich leider noch nichts getan. Eigentlich sollte ja im Herbst 2016 das Problem mit der Firmware 11.7 behoben sein - diese lässt allerdings immer noch auf sich warten.
Ich konnte das exakte selbe Problem mit der Version 11.6.11 immer noch reproduzieren:

ERROR
The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: https://support.securepoint.de/
Failed to establish a secure connection to 148.251.87.165
The system returned:
[No Error] (TLS code: SQUID_X509_V_ERR_DOMAIN_MISMATCH)
Certificate does not match domainname: /CN=*.spdns.deThis proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

Laut Hotline lässt sich der Fehler nur umgehen, wenn der transparente Proxy für SSL nicht genutzt wird, sondern ein normaler Proxy (mit Eintragung im Browser).
Für mich ist diese Funktion somit nicht nutzbar... für den InternetExplorer ist das zwar per Gruppenrichtlinien einfach umsetzbar, allerdings für Firefox sieht das ganze schon wieder anders aus... da müsste man auf allen Clients von Hand die Proxy-Einträge in jedem Benutzerprofil hinterlegen.

Nuja... ich warte nun ab, was als erstes kommt.... einen neuer Firewall-Hersteller oder eine neue UTM-Firmware...

Gruss
Stephan

Beitrag von **David** » Mo 13.03.2017, 10:20

Es ist durchaus möglich auch den Firefox per GPO zu verteilen und zu konfigurieren:
Siehe hier