<div dir="ltr"><div>Das Betriebssystem Windows Mobile gibts seit ein paar Jahren nicht mehr.<br><br></div>Windows Phone 8.1 mit IE 11 zeigt <a href="https://www.hacksaar.de">https://www.hacksaar.de</a> einwandfrei und ohne Warnung an, sei es im Handy- oder im Desktop-Modus.<br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">Am 6. August 2014 14:05 schrieb Ralf Jung <span dir="ltr"><<a href="mailto:post@ralfj.de" target="_blank">post@ralfj.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Rätsel gelöst :)<br>
<br>
Falls das für die Admins relevant ist, die folgenden Cipher hatten wir<br>
vorher aktiviert:<br>
<br>
tls1:<br>
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)<br>
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)<br>
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)<br>
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)<br>
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)<br>
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)<br>
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)<br>
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)<br>
<br>
tls1_1:<br>
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)<br>
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)<br>
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)<br>
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)<br>
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)<br>
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)<br>
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)<br>
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)<br>
<br>
tls1_2:<br>
    ECDHE-RSA-AES256-GCM-SHA384    (high, 256 bits, FS)<br>
    ECDHE-RSA-AES256-SHA384        (high, 256 bits, FS)<br>
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)<br>
    DHE-RSA-AES256-GCM-SHA384      (high, 256 bits, FS)<br>
    DHE-RSA-AES256-SHA256          (high, 256 bits, FS)<br>
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)<br>
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)<br>
    ECDHE-RSA-AES128-GCM-SHA256    (high, 128 bits, FS)<br>
    ECDHE-RSA-AES128-SHA256        (high, 128 bits, FS)<br>
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)<br>
    DHE-RSA-AES128-GCM-SHA256      (high, 128 bits, FS)<br>
    DHE-RSA-AES128-SHA256          (high, 128 bits, FS)<br>
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)<br>
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)<br>
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)<br>
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)<br>
<br>
Offenbar kann die Firewall keinen davon.<br>
Dazu kamen jetzt die folgenden:<br>
<br>
tls1:<br>
    AES256-SHA                     (high, 256 bits, no FS)<br>
    CAMELLIA256-SHA                (high, 256 bits, no FS)<br>
    AES128-SHA                     (high, 128 bits, no FS)<br>
    CAMELLIA128-SHA                (high, 128 bits, no FS)<br>
    DES-CBC3-SHA                   (high, 112 bits, no FS)<br>
<br>
tls1_1:<br>
    AES256-SHA                     (high, 256 bits, no FS)<br>
    CAMELLIA256-SHA                (high, 256 bits, no FS)<br>
    AES128-SHA                     (high, 128 bits, no FS)<br>
    CAMELLIA128-SHA                (high, 128 bits, no FS)<br>
    DES-CBC3-SHA                   (high, 112 bits, no FS)<br>
<br>
tls1_2:<br>
    AES256-GCM-SHA384              (high, 256 bits, no FS)<br>
    AES256-SHA256                  (high, 256 bits, no FS)<br>
    AES256-SHA                     (high, 256 bits, no FS)<br>
    CAMELLIA256-SHA                (high, 256 bits, no FS)<br>
    AES128-GCM-SHA256              (high, 128 bits, no FS)<br>
    AES128-SHA256                  (high, 128 bits, no FS)<br>
    AES128-SHA                     (high, 128 bits, no FS)<br>
    CAMELLIA128-SHA                (high, 128 bits, no FS)<br>
    DES-CBC3-SHA                   (high, 112 bits, no FS)<br>
<br>
Also im Wesentlichen dieselbe Crypto wie vorher, nur mit<br>
RSA-Key-Exchange statt Diffie-Helmann (und daher ohne Forward Secrecy).<br>
<br>
Dummerweise entscheiden sich manche Browser jetzt dazu, mit unserem<br>
Server ohne PFS zu reden, obwohl er das könnte:<br>
Android 2.3.7<br>
IE unter Windows kleiner 8<br>
Java 6<br>
Und für IE11 mit Windows Mobile 8.1 bekommen wir angeblich gar keine<br>
Verbindung, was zur Hölle?^^ Hat jemand so ein Gerät?<br>
<br>
Ich räume dann mal unsere Config wieder auf und lösche diese neuen<br>
Wiki-Domains ;-)<br>
<br>
Viele Grüße,<br>
Ralf<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On 06/08/14 13:15, Holger Hewener wrote:<br>
> Hi,<br>
> so geht es :-)<br>
> Ich geb's mal unseren IT-Admins weiter...mal sehen was die dazu sagen :-)<br>
> Gruß<br>
> Holger<br>
><br>
>> Ralf Jung <<a href="mailto:post@ralfj.de">post@ralfj.de</a>> hat am 6. August 2014 um 12:20 geschrieben:<br>
>><br>
>><br>
>> Hi,<br>
>><br>
>> ich hatte gerade noch eine Idee: Vielleicht kann die Firewall keine<br>
>> PFS-Cipher. Ich habe mal mehr Cipher aktiviert - allerdings<br>
>> verschlechtert das eventuell unsere Note im SSLLabs-Test. Klappt's jetzt?<br>
>><br>
>> Viele Grüße,<br>
>> Ralf<br>
>><br>
>> PS: War das absichtlich nur an mich?<br>
>><br>
>> On 06/08/14 09:31, Holger Hewener wrote:<br>
>>> .... <a href="https://wiki.secure.hacksaar.de/Hauptseite" target="_blank">https://wiki.secure.hacksaar.de/Hauptseite</a> liefert auch "Fehler: Datenübertragung unterbrochen. Die Verbindung<br>
>>> zu<br>
>>> <a href="http://wiki.secure.hacksaar.de" target="_blank">wiki.secure.hacksaar.de</a> wurde unterbrochen, während die Seite geladen wurde."<br>
>>> Bei Fefe ist das Zertifikat von unserer Firewall "issued" (siehe Screenshot im Anhang).<br>
>>> ....können wir ja heute Abend mal drüber reden.<br>
>>> Gruß<br>
>>> Holger<br>
>>><br>
>>><br>
>>><br>
>>>> Ralf Jung <<a href="mailto:post@ralfj.de">post@ralfj.de</a>> hat am 5. August 2014 um 18:01 geschrieben:<br>
>>>><br>
>>>><br>
>>>> Hi,<br>
>>>><br>
>>>>> Hi,<br>
>>>>> <a href="https://xmpp.net/" target="_blank">https://xmpp.net/</a> und <a href="https://startssl.com/" target="_blank">https://startssl.com/</a> gehen einwandfrei.... <a href="https://eintest.hacksaar.de" target="_blank">https://eintest.hacksaar.de</a> nicht :-(<br>

>>>><br>
>>>> Interessant.<br>
>>>><br>
>>>>> Bei Fefe kommt die Browser-Warnung der selbst signierten Zertifikate, danach geht's aber.<br>
>>>><br>
>>>> Das ist seltsam. Wenn sie das Zertifikat Man-in-the-middeln würden, dann<br>
>>>> müsste dein Browser das einfach akzeptieren weil ja alles immer vom<br>
>>>> generell vertrauenswürden Firmenzertifikat kommt. Oder schauen die nach,<br>
>>>> ob das original-Zertifikat akzeptiert würde, und bauen dann auch was,<br>
>>>> das nicht zertifiziert wird...?<br>
>>>> Welches Zertifikat bietet fefe dir denn an? Vor allem der Fingerprint<br>
>>>> und "Issued By" wären interessant.<br>
>>>><br>
>>>>> Wenn man von unserer Firewall die Eingliederung unserer Seite testet<br>
>>>>> (<a href="http://urlfiltering.paloaltonetworks.com/TestASite.aspx" target="_blank">http://urlfiltering.paloaltonetworks.com/TestASite.aspx</a>), dann kommt auch nur das harmlose<br>
>>>>> " Category: Personal Sites and Blogs" raus....wenn die wüssten ;-) ...aber zumindest kein Block (der würde auch<br>
>>>>> anders<br>
>>>>> aussehen als die Meldung, dass die Seite gar nicht erreicht werden kann).<br>
>>>><br>
>>>> Okay.<br>
>>>><br>
>>>>> Unser Admin meinte, dass unser Hacksaar Zertifikat das Firewall-Man-in-the-Middle-Zertifikat nicht anerkennen<br>
>>>>> könnte....aber dann würden die anderen ja auch nicht gehen....ausser wir hätten einen Wurm in der<br>
>>>>> Zertifikatserstellung<br>
>>>>> eingebaut....<br>
>>>><br>
>>>> Äh, hä? Ein Zertifikat erkennt gar nichts an, diese Aussage macht so<br>
>>>> keinen Sinn^^. Der Server weiß ja nichtmal, dass er Man-in-the-middled<br>
>>>> wird, sonst würde er das nicht zulassen. Und wenn unser Zertifikat<br>
>>>> verhindern würde, dass andere es Man-in-the-Middeln, wäre das ein<br>
>>>> Feature und kein Bug - aber leider ist das nicht möglich. Entweder<br>
>>>> spielen wir hier gerade stille Post (ich vermute mal, die Nachricht kam<br>
>>>> irgendwie verfälscht rüber) oder der Admin hat keine Ahnung, wovon er redet.<br>
>>>> Kannst du mal <<a href="https://wiki.secure.hacksaar.de/Hauptseite" target="_blank">https://wiki.secure.hacksaar.de/Hauptseite</a>> ausprobieren?<br>
>>>> Das nutzt unser altes, selbstsigniertes Zertifikat. Sollte sich im<br>
>>>> Wesentlichen wie Fefe verhalten, wenn es denn am Zertifikat liegt - was<br>
>>>> ich bezweifele, ich denke es liegt an den SSL-Einstellungen. Zum<br>
>>>> Beispiel haben wir SSLv3 deaktiviert (das ist alt und nutzt an manchen<br>
>>>> Stellen MD5, da will man eigtl. von weg), wenn deren Software >10 Jahre<br>
>>>> alt ist kann die eventuell noch nix neueres (TLS1 ist von 1999)... das<br>
>>>> wäre dann der nächste Versuch^^<br>
>>>><br>
>>>>> Prinzipiell ist es ja nicht schlimm (ich muss ja selbst nicht so oft auf unsere Seite, vor allem nicht von der<br>
>>>>> Schaff<br>
>>>>> aus), aber doof wäre, wenn es anderen ähnlich ergeht. Es sieht nämlich von hinter der Firewall aus aus, als wäre<br>
>>>>> <a href="http://hacksaar.de" target="_blank">hacksaar.de</a> komplett tot...<br>
>>>><br>
>>>> Mich interessiert auch rein technisch, was hier eigentlich kaputt ist^^<br>
>>>><br>
>>>> Viele Grüße,<br>
>>>> Ralf<br>
>>><br>
>>> Viele Grüße<br>
>>> Holger<br>
>>><br>
><br>
> Viele Grüße<br>
> Holger<br>
><br>
</div></div><div class="HOEnZb"><div class="h5">--<br>
<a href="mailto:public@lists.hacksaar.de">public@lists.hacksaar.de</a> - Öffentliche Liste Technik Kultur Saar e.V.<br>
Konfiguration: <a href="https://lists.hacksaar.de/listinfo/public" target="_blank">https://lists.hacksaar.de/listinfo/public</a><br>
Abbestellen: <a href="mailto:public-unsubscribe@lists.hacksaar.de">public-unsubscribe@lists.hacksaar.de</a></div></div></blockquote></div><br></div>