[Public] zur Info: unsere Seite wird von Firewalls geblockt....

Ralf Jung post at ralfj.de
Di Aug 5 18:01:56 CEST 2014


Hi,

> Hi,
> https://xmpp.net/ und https://startssl.com/ gehen einwandfrei.... https://eintest.hacksaar.de nicht :-(

Interessant.

> Bei Fefe kommt die Browser-Warnung der selbst signierten Zertifikate, danach geht's aber.

Das ist seltsam. Wenn sie das Zertifikat Man-in-the-middeln würden, dann
müsste dein Browser das einfach akzeptieren weil ja alles immer vom
generell vertrauenswürden Firmenzertifikat kommt. Oder schauen die nach,
ob das original-Zertifikat akzeptiert würde, und bauen dann auch was,
das nicht zertifiziert wird...?
Welches Zertifikat bietet fefe dir denn an? Vor allem der Fingerprint
und "Issued By" wären interessant.

> Wenn man von unserer Firewall die Eingliederung unserer Seite testet
> (http://urlfiltering.paloaltonetworks.com/TestASite.aspx), dann kommt auch nur das harmlose
> " Category: Personal Sites and Blogs" raus....wenn die wüssten ;-) ...aber zumindest kein Block (der würde auch anders
> aussehen als die Meldung, dass die Seite gar nicht erreicht werden kann).

Okay.

> Unser Admin meinte, dass unser Hacksaar Zertifikat das Firewall-Man-in-the-Middle-Zertifikat nicht anerkennen
> könnte....aber dann würden die anderen ja auch nicht gehen....ausser wir hätten einen Wurm in der Zertifikatserstellung
> eingebaut....

Äh, hä? Ein Zertifikat erkennt gar nichts an, diese Aussage macht so
keinen Sinn^^. Der Server weiß ja nichtmal, dass er Man-in-the-middled
wird, sonst würde er das nicht zulassen. Und wenn unser Zertifikat
verhindern würde, dass andere es Man-in-the-Middeln, wäre das ein
Feature und kein Bug - aber leider ist das nicht möglich. Entweder
spielen wir hier gerade stille Post (ich vermute mal, die Nachricht kam
irgendwie verfälscht rüber) oder der Admin hat keine Ahnung, wovon er redet.
Kannst du mal <https://wiki.secure.hacksaar.de/Hauptseite> ausprobieren?
Das nutzt unser altes, selbstsigniertes Zertifikat. Sollte sich im
Wesentlichen wie Fefe verhalten, wenn es denn am Zertifikat liegt - was
ich bezweifele, ich denke es liegt an den SSL-Einstellungen. Zum
Beispiel haben wir SSLv3 deaktiviert (das ist alt und nutzt an manchen
Stellen MD5, da will man eigtl. von weg), wenn deren Software >10 Jahre
alt ist kann die eventuell noch nix neueres (TLS1 ist von 1999)... das
wäre dann der nächste Versuch^^

> Prinzipiell ist es ja nicht schlimm (ich muss ja selbst nicht so oft auf unsere Seite, vor allem nicht von der Schaff
> aus), aber doof wäre, wenn es anderen ähnlich ergeht. Es sieht nämlich von hinter der Firewall aus aus, als wäre
> hacksaar.de komplett tot...

Mich interessiert auch rein technisch, was hier eigentlich kaputt ist^^

Viele Grüße,
Ralf


Mehr Informationen über die Mailingliste Public