[Public] zur Info: unsere Seite wird von Firewalls geblockt....

Ralf Jung post at ralfj.de
Mi Aug 6 14:05:12 CEST 2014


Rätsel gelöst :)

Falls das für die Admins relevant ist, die folgenden Cipher hatten wir
vorher aktiviert:

tls1:
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)

tls1_1:
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)

tls1_2:
    ECDHE-RSA-AES256-GCM-SHA384    (high, 256 bits, FS)
    ECDHE-RSA-AES256-SHA384        (high, 256 bits, FS)
    ECDHE-RSA-AES256-SHA           (high, 256 bits, FS)
    DHE-RSA-AES256-GCM-SHA384      (high, 256 bits, FS)
    DHE-RSA-AES256-SHA256          (high, 256 bits, FS)
    DHE-RSA-AES256-SHA             (high, 256 bits, FS)
    DHE-RSA-CAMELLIA256-SHA        (high, 256 bits, FS)
    ECDHE-RSA-AES128-GCM-SHA256    (high, 128 bits, FS)
    ECDHE-RSA-AES128-SHA256        (high, 128 bits, FS)
    ECDHE-RSA-AES128-SHA           (high, 128 bits, FS)
    DHE-RSA-AES128-GCM-SHA256      (high, 128 bits, FS)
    DHE-RSA-AES128-SHA256          (high, 128 bits, FS)
    DHE-RSA-AES128-SHA             (high, 128 bits, FS)
    DHE-RSA-CAMELLIA128-SHA        (high, 128 bits, FS)
    ECDHE-RSA-DES-CBC3-SHA         (high, 112 bits, FS)
    EDH-RSA-DES-CBC3-SHA           (high, 112 bits, FS)

Offenbar kann die Firewall keinen davon.
Dazu kamen jetzt die folgenden:

tls1:
    AES256-SHA                     (high, 256 bits, no FS)
    CAMELLIA256-SHA                (high, 256 bits, no FS)
    AES128-SHA                     (high, 128 bits, no FS)
    CAMELLIA128-SHA                (high, 128 bits, no FS)
    DES-CBC3-SHA                   (high, 112 bits, no FS)

tls1_1:
    AES256-SHA                     (high, 256 bits, no FS)
    CAMELLIA256-SHA                (high, 256 bits, no FS)
    AES128-SHA                     (high, 128 bits, no FS)
    CAMELLIA128-SHA                (high, 128 bits, no FS)
    DES-CBC3-SHA                   (high, 112 bits, no FS)

tls1_2:
    AES256-GCM-SHA384              (high, 256 bits, no FS)
    AES256-SHA256                  (high, 256 bits, no FS)
    AES256-SHA                     (high, 256 bits, no FS)
    CAMELLIA256-SHA                (high, 256 bits, no FS)
    AES128-GCM-SHA256              (high, 128 bits, no FS)
    AES128-SHA256                  (high, 128 bits, no FS)
    AES128-SHA                     (high, 128 bits, no FS)
    CAMELLIA128-SHA                (high, 128 bits, no FS)
    DES-CBC3-SHA                   (high, 112 bits, no FS)

Also im Wesentlichen dieselbe Crypto wie vorher, nur mit
RSA-Key-Exchange statt Diffie-Helmann (und daher ohne Forward Secrecy).

Dummerweise entscheiden sich manche Browser jetzt dazu, mit unserem
Server ohne PFS zu reden, obwohl er das könnte:
Android 2.3.7
IE unter Windows kleiner 8
Java 6
Und für IE11 mit Windows Mobile 8.1 bekommen wir angeblich gar keine
Verbindung, was zur Hölle?^^ Hat jemand so ein Gerät?

Ich räume dann mal unsere Config wieder auf und lösche diese neuen
Wiki-Domains ;-)

Viele Grüße,
Ralf



On 06/08/14 13:15, Holger Hewener wrote:
> Hi,
> so geht es :-)
> Ich geb's mal unseren IT-Admins weiter...mal sehen was die dazu sagen :-)
> Gruß
> Holger
> 
>> Ralf Jung <post at ralfj.de> hat am 6. August 2014 um 12:20 geschrieben:
>>
>>
>> Hi,
>>
>> ich hatte gerade noch eine Idee: Vielleicht kann die Firewall keine
>> PFS-Cipher. Ich habe mal mehr Cipher aktiviert - allerdings
>> verschlechtert das eventuell unsere Note im SSLLabs-Test. Klappt's jetzt?
>>
>> Viele Grüße,
>> Ralf
>>
>> PS: War das absichtlich nur an mich?
>>
>> On 06/08/14 09:31, Holger Hewener wrote:
>>> .... https://wiki.secure.hacksaar.de/Hauptseite liefert auch "Fehler: Datenübertragung unterbrochen. Die Verbindung
>>> zu
>>> wiki.secure.hacksaar.de wurde unterbrochen, während die Seite geladen wurde."
>>> Bei Fefe ist das Zertifikat von unserer Firewall "issued" (siehe Screenshot im Anhang).
>>> ....können wir ja heute Abend mal drüber reden.
>>> Gruß
>>> Holger
>>>
>>>
>>>
>>>> Ralf Jung <post at ralfj.de> hat am 5. August 2014 um 18:01 geschrieben:
>>>>
>>>>
>>>> Hi,
>>>>
>>>>> Hi,
>>>>> https://xmpp.net/ und https://startssl.com/ gehen einwandfrei.... https://eintest.hacksaar.de nicht :-(
>>>>
>>>> Interessant.
>>>>
>>>>> Bei Fefe kommt die Browser-Warnung der selbst signierten Zertifikate, danach geht's aber.
>>>>
>>>> Das ist seltsam. Wenn sie das Zertifikat Man-in-the-middeln würden, dann
>>>> müsste dein Browser das einfach akzeptieren weil ja alles immer vom
>>>> generell vertrauenswürden Firmenzertifikat kommt. Oder schauen die nach,
>>>> ob das original-Zertifikat akzeptiert würde, und bauen dann auch was,
>>>> das nicht zertifiziert wird...?
>>>> Welches Zertifikat bietet fefe dir denn an? Vor allem der Fingerprint
>>>> und "Issued By" wären interessant.
>>>>
>>>>> Wenn man von unserer Firewall die Eingliederung unserer Seite testet
>>>>> (http://urlfiltering.paloaltonetworks.com/TestASite.aspx), dann kommt auch nur das harmlose
>>>>> " Category: Personal Sites and Blogs" raus....wenn die wüssten ;-) ...aber zumindest kein Block (der würde auch
>>>>> anders
>>>>> aussehen als die Meldung, dass die Seite gar nicht erreicht werden kann).
>>>>
>>>> Okay.
>>>>
>>>>> Unser Admin meinte, dass unser Hacksaar Zertifikat das Firewall-Man-in-the-Middle-Zertifikat nicht anerkennen
>>>>> könnte....aber dann würden die anderen ja auch nicht gehen....ausser wir hätten einen Wurm in der
>>>>> Zertifikatserstellung
>>>>> eingebaut....
>>>>
>>>> Äh, hä? Ein Zertifikat erkennt gar nichts an, diese Aussage macht so
>>>> keinen Sinn^^. Der Server weiß ja nichtmal, dass er Man-in-the-middled
>>>> wird, sonst würde er das nicht zulassen. Und wenn unser Zertifikat
>>>> verhindern würde, dass andere es Man-in-the-Middeln, wäre das ein
>>>> Feature und kein Bug - aber leider ist das nicht möglich. Entweder
>>>> spielen wir hier gerade stille Post (ich vermute mal, die Nachricht kam
>>>> irgendwie verfälscht rüber) oder der Admin hat keine Ahnung, wovon er redet.
>>>> Kannst du mal <https://wiki.secure.hacksaar.de/Hauptseite> ausprobieren?
>>>> Das nutzt unser altes, selbstsigniertes Zertifikat. Sollte sich im
>>>> Wesentlichen wie Fefe verhalten, wenn es denn am Zertifikat liegt - was
>>>> ich bezweifele, ich denke es liegt an den SSL-Einstellungen. Zum
>>>> Beispiel haben wir SSLv3 deaktiviert (das ist alt und nutzt an manchen
>>>> Stellen MD5, da will man eigtl. von weg), wenn deren Software >10 Jahre
>>>> alt ist kann die eventuell noch nix neueres (TLS1 ist von 1999)... das
>>>> wäre dann der nächste Versuch^^
>>>>
>>>>> Prinzipiell ist es ja nicht schlimm (ich muss ja selbst nicht so oft auf unsere Seite, vor allem nicht von der
>>>>> Schaff
>>>>> aus), aber doof wäre, wenn es anderen ähnlich ergeht. Es sieht nämlich von hinter der Firewall aus aus, als wäre
>>>>> hacksaar.de komplett tot...
>>>>
>>>> Mich interessiert auch rein technisch, was hier eigentlich kaputt ist^^
>>>>
>>>> Viele Grüße,
>>>> Ralf
>>>
>>> Viele Grüße
>>> Holger
>>>
> 
> Viele Grüße
> Holger
> 


Mehr Informationen über die Mailingliste Public