[Public] SSL-Cipher

[Ralf Jung]

Argh, ich hasse es, wenn Leute das Internet kaputt machen :( *grummel*.
Ich mache die Einstellung gleich wieder so, wie sie mal war.

Könntet ihr euren Admins Bescheid geben, dass die Firewall kaputt ist?
Das Problem ist nicht, dass sie Man-in-the-middle macht. Ohne
Kooperation eurer Clients würde das auch dann nicht klappen, wenn keine
Forward Secrecy genutzt wird. Sprich, eure Clients akzeptieren
vermutlich eine CA, deren Secret Key in der Firewall liegt, die damit
bei bedarf Zertifikate für beliebige Domains ausstellt. Das Problem ist
vielmehr, dass sie Man-inthe-middle dilettantisch schlecht macht: Der
Crypto-Code dafür ist vermutlich >10 Jahre alt ist und kann einfach
keine Forward Secrecy - daher kann er sich nicht zu unserem Server
verbinden. Eure Clients hätten damit kein Problem, aber die dürfen sich
direkt mit dem Server reden.
Überhaupt MitM zu machen, ist schon ein absolutes Unding. Vermutlich
bekommen sie auch die Prüfung von Zertifikaten nicht richtig hin, sodass
dritte euch wiederum auch trivial MitM-en können. Es aber dann auch noch
so schlecht zu machen, das... also da fehlen mir sicherheitshalber mal
die Worte.

Viele Grüße,
Ralf

On 16.03.2015 16:41, Holger Hewener wrote:
> ...was für uns noch egal wäre, aber ist Hacksaar.de für manche andere Leute aus Firmennetzen mit solchen Firewalls auch nicht erreichbar.
> 
> Grüße 
> Holger 
> 
>> Am 16.03.2015 um 16:10 schrieb Steffen-David Weber <steffendavidweber at googlemail.com>:
>>
>> Jepp bei uns geht nichts mehr.
>> Das scheint die "man in the middle attack" unsere Firewall kaputt zu machen, 
>> was nur dafür spricht aber für Holger und mich ziemlich doof ist :(
>>
>> Grüße
>> Steffen
>>
>>> Am 16. März 2015 um 14:58 schrieb Ralf Jung <post at ralfj.de>:
>>> Hallo allerseits,
>>>
>>> ich habe mal wieder unseren Server so konfiguriert, dass Forward Secrecy
>>> *erzwungen* wird. Das bringt uns auf SSL Labs die Note "A" statt vorher
>>> "A-" ein :)
>>> <https://www.ssllabs.com/ssltest/analyze.html?d=www.hacksaar.de>
>>>
>>> Das letzte mal, als ich das getan habe, ging dann die Webseite bei
>>> manchen von euch nicht mehr. Insbesondere erinnere ich mich daran, dass
>>> Holger Probleme hatte. Versucht daher alle bitte mal, ob unsere Homepage
>>> bei all euren Anschlüssen (daheim, beruflich, ...) und mit all euren
>>> Browsern noch funktioniert.
>>>
>>> Wenn nicht, muss ich wohl Forward Secrecy wieder optional machen :(
>>>
>>> Viele Grüße,
>>> Ralf
>>> --
>>> public at lists.hacksaar.de - Öffentliche Liste Technik Kultur Saar e.V.
>>> Konfiguration: https://lists.hacksaar.de/listinfo/public
>>> Abbestellen: public-unsubscribe at lists.hacksaar.de
>>
>> -- 
>> public at lists.hacksaar.de - Öffentliche Liste Technik Kultur Saar e.V.
>> Konfiguration: https://lists.hacksaar.de/listinfo/public
>> Abbestellen: public-unsubscribe at lists.hacksaar.de
> 
> 
>