[Public] zur Info: unsere Seite wird von Firewalls geblockt....
Kim Meiser
kim.meiser at gmail.com
Mi Aug 6 14:13:33 CEST 2014
Das Betriebssystem Windows Mobile gibts seit ein paar Jahren nicht mehr.
Windows Phone 8.1 mit IE 11 zeigt https://www.hacksaar.de einwandfrei und
ohne Warnung an, sei es im Handy- oder im Desktop-Modus.
Am 6. August 2014 14:05 schrieb Ralf Jung <post at ralfj.de>:
> Rätsel gelöst :)
>
> Falls das für die Admins relevant ist, die folgenden Cipher hatten wir
> vorher aktiviert:
>
> tls1:
> ECDHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-CAMELLIA256-SHA (high, 256 bits, FS)
> ECDHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-CAMELLIA128-SHA (high, 128 bits, FS)
> ECDHE-RSA-DES-CBC3-SHA (high, 112 bits, FS)
> EDH-RSA-DES-CBC3-SHA (high, 112 bits, FS)
>
> tls1_1:
> ECDHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-CAMELLIA256-SHA (high, 256 bits, FS)
> ECDHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-CAMELLIA128-SHA (high, 128 bits, FS)
> ECDHE-RSA-DES-CBC3-SHA (high, 112 bits, FS)
> EDH-RSA-DES-CBC3-SHA (high, 112 bits, FS)
>
> tls1_2:
> ECDHE-RSA-AES256-GCM-SHA384 (high, 256 bits, FS)
> ECDHE-RSA-AES256-SHA384 (high, 256 bits, FS)
> ECDHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-AES256-GCM-SHA384 (high, 256 bits, FS)
> DHE-RSA-AES256-SHA256 (high, 256 bits, FS)
> DHE-RSA-AES256-SHA (high, 256 bits, FS)
> DHE-RSA-CAMELLIA256-SHA (high, 256 bits, FS)
> ECDHE-RSA-AES128-GCM-SHA256 (high, 128 bits, FS)
> ECDHE-RSA-AES128-SHA256 (high, 128 bits, FS)
> ECDHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-AES128-GCM-SHA256 (high, 128 bits, FS)
> DHE-RSA-AES128-SHA256 (high, 128 bits, FS)
> DHE-RSA-AES128-SHA (high, 128 bits, FS)
> DHE-RSA-CAMELLIA128-SHA (high, 128 bits, FS)
> ECDHE-RSA-DES-CBC3-SHA (high, 112 bits, FS)
> EDH-RSA-DES-CBC3-SHA (high, 112 bits, FS)
>
> Offenbar kann die Firewall keinen davon.
> Dazu kamen jetzt die folgenden:
>
> tls1:
> AES256-SHA (high, 256 bits, no FS)
> CAMELLIA256-SHA (high, 256 bits, no FS)
> AES128-SHA (high, 128 bits, no FS)
> CAMELLIA128-SHA (high, 128 bits, no FS)
> DES-CBC3-SHA (high, 112 bits, no FS)
>
> tls1_1:
> AES256-SHA (high, 256 bits, no FS)
> CAMELLIA256-SHA (high, 256 bits, no FS)
> AES128-SHA (high, 128 bits, no FS)
> CAMELLIA128-SHA (high, 128 bits, no FS)
> DES-CBC3-SHA (high, 112 bits, no FS)
>
> tls1_2:
> AES256-GCM-SHA384 (high, 256 bits, no FS)
> AES256-SHA256 (high, 256 bits, no FS)
> AES256-SHA (high, 256 bits, no FS)
> CAMELLIA256-SHA (high, 256 bits, no FS)
> AES128-GCM-SHA256 (high, 128 bits, no FS)
> AES128-SHA256 (high, 128 bits, no FS)
> AES128-SHA (high, 128 bits, no FS)
> CAMELLIA128-SHA (high, 128 bits, no FS)
> DES-CBC3-SHA (high, 112 bits, no FS)
>
> Also im Wesentlichen dieselbe Crypto wie vorher, nur mit
> RSA-Key-Exchange statt Diffie-Helmann (und daher ohne Forward Secrecy).
>
> Dummerweise entscheiden sich manche Browser jetzt dazu, mit unserem
> Server ohne PFS zu reden, obwohl er das könnte:
> Android 2.3.7
> IE unter Windows kleiner 8
> Java 6
> Und für IE11 mit Windows Mobile 8.1 bekommen wir angeblich gar keine
> Verbindung, was zur Hölle?^^ Hat jemand so ein Gerät?
>
> Ich räume dann mal unsere Config wieder auf und lösche diese neuen
> Wiki-Domains ;-)
>
> Viele Grüße,
> Ralf
>
>
>
> On 06/08/14 13:15, Holger Hewener wrote:
> > Hi,
> > so geht es :-)
> > Ich geb's mal unseren IT-Admins weiter...mal sehen was die dazu sagen :-)
> > Gruß
> > Holger
> >
> >> Ralf Jung <post at ralfj.de> hat am 6. August 2014 um 12:20 geschrieben:
> >>
> >>
> >> Hi,
> >>
> >> ich hatte gerade noch eine Idee: Vielleicht kann die Firewall keine
> >> PFS-Cipher. Ich habe mal mehr Cipher aktiviert - allerdings
> >> verschlechtert das eventuell unsere Note im SSLLabs-Test. Klappt's
> jetzt?
> >>
> >> Viele Grüße,
> >> Ralf
> >>
> >> PS: War das absichtlich nur an mich?
> >>
> >> On 06/08/14 09:31, Holger Hewener wrote:
> >>> .... https://wiki.secure.hacksaar.de/Hauptseite liefert auch "Fehler:
> Datenübertragung unterbrochen. Die Verbindung
> >>> zu
> >>> wiki.secure.hacksaar.de wurde unterbrochen, während die Seite geladen
> wurde."
> >>> Bei Fefe ist das Zertifikat von unserer Firewall "issued" (siehe
> Screenshot im Anhang).
> >>> ....können wir ja heute Abend mal drüber reden.
> >>> Gruß
> >>> Holger
> >>>
> >>>
> >>>
> >>>> Ralf Jung <post at ralfj.de> hat am 5. August 2014 um 18:01 geschrieben:
> >>>>
> >>>>
> >>>> Hi,
> >>>>
> >>>>> Hi,
> >>>>> https://xmpp.net/ und https://startssl.com/ gehen einwandfrei....
> https://eintest.hacksaar.de nicht :-(
> >>>>
> >>>> Interessant.
> >>>>
> >>>>> Bei Fefe kommt die Browser-Warnung der selbst signierten
> Zertifikate, danach geht's aber.
> >>>>
> >>>> Das ist seltsam. Wenn sie das Zertifikat Man-in-the-middeln würden,
> dann
> >>>> müsste dein Browser das einfach akzeptieren weil ja alles immer vom
> >>>> generell vertrauenswürden Firmenzertifikat kommt. Oder schauen die
> nach,
> >>>> ob das original-Zertifikat akzeptiert würde, und bauen dann auch was,
> >>>> das nicht zertifiziert wird...?
> >>>> Welches Zertifikat bietet fefe dir denn an? Vor allem der Fingerprint
> >>>> und "Issued By" wären interessant.
> >>>>
> >>>>> Wenn man von unserer Firewall die Eingliederung unserer Seite testet
> >>>>> (http://urlfiltering.paloaltonetworks.com/TestASite.aspx), dann
> kommt auch nur das harmlose
> >>>>> " Category: Personal Sites and Blogs" raus....wenn die wüssten ;-)
> ...aber zumindest kein Block (der würde auch
> >>>>> anders
> >>>>> aussehen als die Meldung, dass die Seite gar nicht erreicht werden
> kann).
> >>>>
> >>>> Okay.
> >>>>
> >>>>> Unser Admin meinte, dass unser Hacksaar Zertifikat das
> Firewall-Man-in-the-Middle-Zertifikat nicht anerkennen
> >>>>> könnte....aber dann würden die anderen ja auch nicht gehen....ausser
> wir hätten einen Wurm in der
> >>>>> Zertifikatserstellung
> >>>>> eingebaut....
> >>>>
> >>>> Äh, hä? Ein Zertifikat erkennt gar nichts an, diese Aussage macht so
> >>>> keinen Sinn^^. Der Server weiß ja nichtmal, dass er Man-in-the-middled
> >>>> wird, sonst würde er das nicht zulassen. Und wenn unser Zertifikat
> >>>> verhindern würde, dass andere es Man-in-the-Middeln, wäre das ein
> >>>> Feature und kein Bug - aber leider ist das nicht möglich. Entweder
> >>>> spielen wir hier gerade stille Post (ich vermute mal, die Nachricht
> kam
> >>>> irgendwie verfälscht rüber) oder der Admin hat keine Ahnung, wovon er
> redet.
> >>>> Kannst du mal <https://wiki.secure.hacksaar.de/Hauptseite>
> ausprobieren?
> >>>> Das nutzt unser altes, selbstsigniertes Zertifikat. Sollte sich im
> >>>> Wesentlichen wie Fefe verhalten, wenn es denn am Zertifikat liegt -
> was
> >>>> ich bezweifele, ich denke es liegt an den SSL-Einstellungen. Zum
> >>>> Beispiel haben wir SSLv3 deaktiviert (das ist alt und nutzt an manchen
> >>>> Stellen MD5, da will man eigtl. von weg), wenn deren Software >10
> Jahre
> >>>> alt ist kann die eventuell noch nix neueres (TLS1 ist von 1999)... das
> >>>> wäre dann der nächste Versuch^^
> >>>>
> >>>>> Prinzipiell ist es ja nicht schlimm (ich muss ja selbst nicht so oft
> auf unsere Seite, vor allem nicht von der
> >>>>> Schaff
> >>>>> aus), aber doof wäre, wenn es anderen ähnlich ergeht. Es sieht
> nämlich von hinter der Firewall aus aus, als wäre
> >>>>> hacksaar.de komplett tot...
> >>>>
> >>>> Mich interessiert auch rein technisch, was hier eigentlich kaputt
> ist^^
> >>>>
> >>>> Viele Grüße,
> >>>> Ralf
> >>>
> >>> Viele Grüße
> >>> Holger
> >>>
> >
> > Viele Grüße
> > Holger
> >
> --
> public at lists.hacksaar.de - Öffentliche Liste Technik Kultur Saar e.V.
> Konfiguration: https://lists.hacksaar.de/listinfo/public
> Abbestellen: public-unsubscribe at lists.hacksaar.de
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.hacksaar.de/pipermail/public/attachments/20140806/3488312e/attachment.html>
Mehr Informationen über die Mailingliste Public