Securepoint Support Forum

Hallo,
wir sind darauf angewiesen im Test von SSLLabs.com eine A-Wertung zu bekommen. Dafür haben wir ein Zertifikat dessen Zertifizierungspfad Global-Sign -> AlphaSSL -> unser Zertifikat ist.
Leider bekommen wir nur die Note B, da das AlphaSSL Zertifikat anscheinend nicht mit übertragen wird von der Firewall. Unter CA wurden beide Zertifikate (Erst GlobalSign, dann AlphaSSL) hinzugefügt. Danach das Webserver-Zertifikat. Dieses enthält den privaten Schlüssel sowie das Zertifikat an sich. Ich habe auch versucht das AlphaSSL Zertifikat mit in die Datei zu packen, leider ist das Ergebnis unverändert - es wird immer noch angezeigt, dass 1 Zertifikat übertragen wurde (also nicht 2 wie in der Datei).

Bei einer Seite, welche das gewünschte Bild liefert steht statt "Extra Download" die Meldung "Sent by Server" (https://www.ssllabs.com/ssltest/analyze ... sllabs.com -> Certification Paths ausklappen).
Kann man dieses Verhalten von der UTM erzeugen lassen?


EDIT: Ich habe soeben mal in die DB geschaut und da fehlen dem Zertifikat in der Tabelle x509 alle Zwischenzertifizierungsstellen. Müsste man dann wohl von Hand ändern`?

Habe das Problem jetzt gelöst bzw. einen Workaround gefunden : in den erweiterten einstellen in der squid-reverse.conf das Hardcodierte squid-reverse.pem durch eine andere Datei ersetzen und in diese das Zertifikat, so wie es sein soll, packen.

Wie es aussieht wird sowohl beim schreiben in die Datenbank als auch beim generieren der .pem Datei aus der Datenbank das Zwischenzertifikat entfernt (habe versucht das Zertifikat über SSH in der Datenbank zu tauschen, leider bleibt die enstehende .pem dabei unverändert).

Dieses Verhalten sollte man unbedingt ändern!

"Strg + Alt +A" -> Extras -> Erweiterte Einstellungen -> Vorlagen -> /etc/ssl/squid-reverse.pem
Da fügen Sie unten ein: "NAME-DES-INTERMEDIATES" muss genau so eingegeben werden, wie sie es in der Zertifikats-Übersicht in der Spalte "Name" sehen.

Dann Speichern, Reverse Proxy neu starten. Profit.

Vielen Dank, werde ich bei Gelegenheitversuchen - die Lösung die ich im 2. Beitrag geschrieben hat läuft ja auch...

Können Sie sagen wann Squid auf Version mindestens 3.5.13 erfolgt? Wir bräuchten folgendes aus dem Change Log:
3.5.13:
    - Support Elliptic Curve ciphers in TLS

Ist es möglich Squid "manuel" zu updaten (es scheint kein dpkg auf der FW zu sein)?
Das Problem ist ja, das ich keine Cipher Suite finde die Chrome/Android unterstützt und gleichzeitig Forward Secrecy bietet...

In der 11.7 wird der Squid 3.5 enthalten sein. Nein, einen Termin dafür habe ich noch nicht und nein, ein manuelles Update des installierten Squid ist nicht möglich.