<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
</head><body style="">
<div>
Hi,
</div>
<div>
so geht es :-)
</div>
<div>
Ich geb's mal unseren IT-Admins weiter...mal sehen was die dazu sagen :-)
</div>
<div>
Gruß
</div>
<div>
Holger
</div>
<div>
<br />> Ralf Jung <post@ralfj.de> hat am 6. August 2014 um 12:20 geschrieben:
<br />>
<br />>
<br />> Hi,
<br />>
<br />> ich hatte gerade noch eine Idee: Vielleicht kann die Firewall keine
<br />> PFS-Cipher. Ich habe mal mehr Cipher aktiviert - allerdings
<br />> verschlechtert das eventuell unsere Note im SSLLabs-Test. Klappt's jetzt?
<br />>
<br />> Viele Grüße,
<br />> Ralf
<br />>
<br />> PS: War das absichtlich nur an mich?
<br />>
<br />> On 06/08/14 09:31, Holger Hewener wrote:
<br />> > .... https://wiki.secure.hacksaar.de/Hauptseite liefert auch "Fehler: Datenübertragung unterbrochen. Die Verbindung zu
<br />> > wiki.secure.hacksaar.de wurde unterbrochen, während die Seite geladen wurde."
<br />> > Bei Fefe ist das Zertifikat von unserer Firewall "issued" (siehe Screenshot im Anhang).
<br />> > ....können wir ja heute Abend mal drüber reden.
<br />> > Gruß
<br />> > Holger
<br />> >
<br />> >
<br />> >
<br />> >> Ralf Jung <post@ralfj.de> hat am 5. August 2014 um 18:01 geschrieben:
<br />> >>
<br />> >>
<br />> >> Hi,
<br />> >>
<br />> >>> Hi,
<br />> >>> https://xmpp.net/ und https://startssl.com/ gehen einwandfrei.... https://eintest.hacksaar.de nicht :-(
<br />> >>
<br />> >> Interessant.
<br />> >>
<br />> >>> Bei Fefe kommt die Browser-Warnung der selbst signierten Zertifikate, danach geht's aber.
<br />> >>
<br />> >> Das ist seltsam. Wenn sie das Zertifikat Man-in-the-middeln würden, dann
<br />> >> müsste dein Browser das einfach akzeptieren weil ja alles immer vom
<br />> >> generell vertrauenswürden Firmenzertifikat kommt. Oder schauen die nach,
<br />> >> ob das original-Zertifikat akzeptiert würde, und bauen dann auch was,
<br />> >> das nicht zertifiziert wird...?
<br />> >> Welches Zertifikat bietet fefe dir denn an? Vor allem der Fingerprint
<br />> >> und "Issued By" wären interessant.
<br />> >>
<br />> >>> Wenn man von unserer Firewall die Eingliederung unserer Seite testet
<br />> >>> (http://urlfiltering.paloaltonetworks.com/TestASite.aspx), dann kommt auch nur das harmlose
<br />> >>> " Category: Personal Sites and Blogs" raus....wenn die wüssten ;-) ...aber zumindest kein Block (der würde auch
<br />> >>> anders
<br />> >>> aussehen als die Meldung, dass die Seite gar nicht erreicht werden kann).
<br />> >>
<br />> >> Okay.
<br />> >>
<br />> >>> Unser Admin meinte, dass unser Hacksaar Zertifikat das Firewall-Man-in-the-Middle-Zertifikat nicht anerkennen
<br />> >>> könnte....aber dann würden die anderen ja auch nicht gehen....ausser wir hätten einen Wurm in der
<br />> >>> Zertifikatserstellung
<br />> >>> eingebaut....
<br />> >>
<br />> >> Äh, hä? Ein Zertifikat erkennt gar nichts an, diese Aussage macht so
<br />> >> keinen Sinn^^. Der Server weiß ja nichtmal, dass er Man-in-the-middled
<br />> >> wird, sonst würde er das nicht zulassen. Und wenn unser Zertifikat
<br />> >> verhindern würde, dass andere es Man-in-the-Middeln, wäre das ein
<br />> >> Feature und kein Bug - aber leider ist das nicht möglich. Entweder
<br />> >> spielen wir hier gerade stille Post (ich vermute mal, die Nachricht kam
<br />> >> irgendwie verfälscht rüber) oder der Admin hat keine Ahnung, wovon er redet.
<br />> >> Kannst du mal <https://wiki.secure.hacksaar.de/Hauptseite> ausprobieren?
<br />> >> Das nutzt unser altes, selbstsigniertes Zertifikat. Sollte sich im
<br />> >> Wesentlichen wie Fefe verhalten, wenn es denn am Zertifikat liegt - was
<br />> >> ich bezweifele, ich denke es liegt an den SSL-Einstellungen. Zum
<br />> >> Beispiel haben wir SSLv3 deaktiviert (das ist alt und nutzt an manchen
<br />> >> Stellen MD5, da will man eigtl. von weg), wenn deren Software >10 Jahre
<br />> >> alt ist kann die eventuell noch nix neueres (TLS1 ist von 1999)... das
<br />> >> wäre dann der nächste Versuch^^
<br />> >>
<br />> >>> Prinzipiell ist es ja nicht schlimm (ich muss ja selbst nicht so oft auf unsere Seite, vor allem nicht von der
<br />> >>> Schaff
<br />> >>> aus), aber doof wäre, wenn es anderen ähnlich ergeht. Es sieht nämlich von hinter der Firewall aus aus, als wäre
<br />> >>> hacksaar.de komplett tot...
<br />> >>
<br />> >> Mich interessiert auch rein technisch, was hier eigentlich kaputt ist^^
<br />> >>
<br />> >> Viele Grüße,
<br />> >> Ralf
<br />> >
<br />> > Viele Grüße
<br />> > Holger
<br />> >
</div>
<div id="ox-signature">
<br />Viele Grüße
<br />Holger
</div>
</body></html>