Verbindungsfehler x509 /Problem mit TLS-Root-Zertifikat Firma Sectigo (ehemals Comodo

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Junioruser1976
Beiträge: 25
Registriert: Di 02.07.2019, 07:43

Verbindungsfehler x509 /Problem mit TLS-Root-Zertifikat Firma Sectigo (ehemals Comodo

Beitrag von Junioruser1976 »

Hallo,

ich habe hier seit Ende Mai das Problem, dass die FW bestimmte Websites blockiert mit folgender  Meldung:

The following error was encountered while trying to retrieve the URL: https://www.aera-online.de/*
Failed to establish a secure connection to 194.69.36.58
The system returned:
(71) Protocol error (TLS code: X509_V_ERR_CERT_HAS_EXPIRED)
SSL Certificate expired on: May 30 10:48:38 2020 GMT
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
Your cache administrator is (...)

Ich habe das eine Zeit lang jetzt systematisch beobachtet:
Das ganze betrifft sämtliche URLs mit EV Zertifikaten,die Ende Mai von Sectigo abgelaufen waren:
Und es ist auch nicht nur eine Maschine, die betroffen ist, sondern alle Maschinen, die hinter der FW sitzen und auf http-proxy /fest gesetzt sind, zeigen das gleiche Problem.
Und das ganze scheint auch browserunabhängig zu sein: Das Problem ist sowohl mit Edge als auch Firefox reproduzierbar. Browser-Cache leeren bringt nichts.

Eigentlich sind die Zertifikate der betroffenen URLs  längst auch bereits wieder durch aktuelle neue ersetzt- ohne die UTM dazwischen lassen sich die betreffenden Seiten auch problemlos alle aufrufen- das hab ich hier lokal getestet- nur die UTM meint leider weiter, dass das Zertifikat abgelaufen ist und bezieht sich anscheinend irgendwo in der Zertifikatsprüfkette noch immer auf SSL Bibliothekseinträge mit dem alten abgelaufenen Zertifikat.

Dies ist auch schon allgemein an verschiedener Stelle als Problem geschildert worden: z.B. https://www.heise.de/news/AddTrust-Prob ... 71717.html

Frage ist jetzt :
Wie und wo bekomme ich ganz konkret und praktisch jetzt  hier dieses Verhalten der UTM an welcher Stelle mit welchen Maßnahmen korrigiert, damit dieser Fehler nicht mehr auftritt?

Vorweggenommen:
Die aktuellen Updates auf der UTM sind eingespielt (aktuell 11.8.8.5) , an einer veralteten Firmeware kann es somit nicht liegen.

Ich hoffe, es kann mir hier jemand helfen. Danke im Voraus und Grüße an alle.

Benutzeravatar
Mario
Securepoint
Beiträge: 268
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Hi,

Sie koennen versuchen, eine Ausnahme bei der Zertifikatsverifizierung in der SSL-Interception zu hinterlegen.

Auch wenn es mit dem Browser ohne Proxy funktioniert, die Zertifikatskette ist nicht korrekt, da ein abgelaufenes Zertifikat in dieser haengt. Bei Verwendung der Zertifikatsverifizierung/ SSL-Interception fuehrt das zum entsprechenden Fehler. "Wie gewuenscht/ konfiguriert"

Das Comodo-Zertifikat haengt in vielen Webseiten...


https://www.ssllabs.com/ssltest/analyze.html?d=www.aera%2donline.de&latest
Rise from your grave!

Junioruser1976
Beiträge: 25
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo, vielen Dank für die Antwort. Der Link ist super und eine klasse Hilfe, das Problem weiter einzugrenzen.
Habe inzwischen auch weitere URL (zkn.de) beim Vertiefen zu dem Thema aufgetan, die auch ein Sectigo/Commodobasiertes EVZertifikat nutzt, bei der aber die UTM  kein Problem mit dem Aufruf hat aktuell- (genau genommen: es gab einmal zum Ablaufdatum 30.5./1.6. kurz auch eine Blockade für diese URL,  aber hier muss dann umgehend  eine Korrektur der Zertifikatskette erfolgt sein- und ssl labs Analyze bestätigt das auch entsprechend: hier finden sich in der Zertifikatskette keine Einträge für "abgelaufen" mehr)
Das jetzt als Ausnahme bei SSL Interception deshalb reinzunehmen für die betroffene(n) Seite(n) bleibt irgendwie trotzdem unbefriedigend, weil es nicht das eigenltiche Problem löst.
Im Falle von aera-online werde ich mal versuchen, den Websitebetreuer mit HIlfe der Informationen von Ihnen zu kontaktieren, mal sehen, was die dazu sagen und ob sie offen dafür sind, eine Lösung zu suchen...

Antworten