SSL-Interception im transparenten Modus nicht wirklich brauchbar

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

SSL-Interception im transparenten Modus nicht wirklich brauchbar

Beitrag von isential gmbh »

Hallo!

Im transparentem Modus ist SSL-Interception sehr bedingt bis gar nicht brauchbar. Viele HTTPS-Seiten verursachen einen Fehler – das habe ich z. B. bei Seiten festgestellt, die Let's Encrypt nutzen:

Code: Alles auswählen

berlin2017.online-boykott.de verwendet ein ungültiges Sicherheitszertifikat.

Das Zertifikat gilt nur für folgende Namen: www.online-boykott.de, online-boykott.de Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN
Etwas ulkig für mich, denn die hier angesteuerte Unterdomäne "berlin2017.online-boykott.de" verwendet ein eigenes, mit Let's Encrypt erstelltes, gültiges SSL-Zertifikat, während die Hauptdomäne ein "normales" (gekauftes) SSL-Zertifikat verwendet.

Aber auch gerade bei Ihrer Forumsseite erscheint ein ähnlicher Fehler:

Code: Alles auswählen

support.securepoint.de verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für folgende Namen: *.spdns.de, spdns.de Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN
Ich würde gerne den transparenten Modus nutzen, um mir die Mehrarbeit z. B. bei der Angabe des Proxy zu sparen.

Nun, was können Sie zu diesem Verhalten sagen? Gibt es eine Lösung?

Im Voraus vielen Dank!

René
Nach oben
Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

der Squid der in der 11.6.X verwendet wird unterstützt kein SNI - daher der Fehler.
In der 11.7 wird der Squid gepatched, allerdings ist das kein garant dass es dann besser funktioniert siehe: viewtopic.php?f=31&t=6418
Erik hat geschrieben:Auf ein Update vom Squid warten, welches SNI unterstützt. Aber selbst das wird kein Garant für die ordnungsgemäße Funktion sein. Man wird die Hucke an Funktionen und Einschränkungen niemals so abgebildet bekommen, dass das bei allen Kunden mit jeder Kombination aus Client und Server funktioniert.

Mal davon ab ist meine persönliche Meinung zu SSL-Interception: sein lassen. Die Handvoll Vorteile, die man dadurch bekommt, wiegt IMO nicht die Nachteile/Probleme auf.
Gruß

Kenneth
Nach oben
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

Beitrag von isential gmbh »

OK, danke. SSL-Interception ist doch noch zu stressig und Fehleranfällig, daher abschalten und hoffen, dass keine Malware über 443 frei Haus geliefert wird.

Wann ist mit der Version 11.7 zu rechnen?

Grüße

René
Nach oben
Bjoern
Securepoint
Beiträge: 747
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

die 11.7 wird wohl Anfang nächsten Monat für die NFR Maschinen nach und nach ausgerollt.

Gruß Björn
Nach oben
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

Beitrag von isential gmbh »

Danke!

René
Nach oben
Antworten

Zurück zu „Allgemeines“