4
Squid Proxy - Keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar
Hallo Adminz,
vermutlich ist es keine große Sache, aber bisher bin ich nicht fündig geworden. Folgendes Problem:
Beim Aufruf oder der Verarbeitung von etlichen "Standard" Webseiten wie z.B. bekannte E-Mail Provider web oder gmx erhalten die Windows Benutzer einen Sicherheitshinweis "Keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar. Möchten Sie den Vorgang fortsetzen?"
Wenn man auf "ja" klickt ist alles in Ordnung und es geht weiter. Mitunter ist es aber so, dass die Meldung mehrere Male hintereinander bestätigt werden muss. Die User sind genervt.
Im Einsatz ist ein Squid Proxy 3.5 (Ubuntu Server 16.04). Ich denke die Lösung muss damit zusammen hängen. Lasse ich einen der PCs mittels Firewallfreigabe direkt ins Internet werden keine Warnmeldungen angezeigt. Irgendwelche wichtigen Zertifikat Infos können den Squid scheinbar nicht passieren. Hat jemand eine Idee/Lösung?
Bitte seid gnädig, ich bin kein Experte auf dem Gebiet Zertifikate und auch nicht beim Squid. Danke an alle die sich an der Lösung beteiligen!
Gruß, kaalax
vermutlich ist es keine große Sache, aber bisher bin ich nicht fündig geworden. Folgendes Problem:
Beim Aufruf oder der Verarbeitung von etlichen "Standard" Webseiten wie z.B. bekannte E-Mail Provider web oder gmx erhalten die Windows Benutzer einen Sicherheitshinweis "Keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar. Möchten Sie den Vorgang fortsetzen?"
Wenn man auf "ja" klickt ist alles in Ordnung und es geht weiter. Mitunter ist es aber so, dass die Meldung mehrere Male hintereinander bestätigt werden muss. Die User sind genervt.
Im Einsatz ist ein Squid Proxy 3.5 (Ubuntu Server 16.04). Ich denke die Lösung muss damit zusammen hängen. Lasse ich einen der PCs mittels Firewallfreigabe direkt ins Internet werden keine Warnmeldungen angezeigt. Irgendwelche wichtigen Zertifikat Infos können den Squid scheinbar nicht passieren. Hat jemand eine Idee/Lösung?
Bitte seid gnädig, ich bin kein Experte auf dem Gebiet Zertifikate und auch nicht beim Squid. Danke an alle die sich an der Lösung beteiligen!
Gruß, kaalax
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371669
Url: https://administrator.de/contentid/371669
Ausgedruckt am: 18.11.2024 um 06:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo Kaalax,
Filtert dein Proxy auch https Verbindungen? Dann müsstest du das Proxy Zertifikat auf allen Clients installieren, um den Fehler loszuwerden. HTTPS mit Squid filtern
LG Martin
Filtert dein Proxy auch https Verbindungen? Dann müsstest du das Proxy Zertifikat auf allen Clients installieren, um den Fehler loszuwerden. HTTPS mit Squid filtern
LG Martin
Ich vermute, der Proxy lässt nur wenige, explizit zugelassene Domains durch?
Dann müsstest du zumindest die OCSP-Server der Zertifizierungsstellen ebenfalls zulassen, welche die Zertifikate für diese Domains ausgestellt haben.
Eventuell gibt es auch irgendwo eine mehr oder weniger vollständige Liste der OCSP-Server, welche man einfach ebenfalls whitelisten kann.
Ansonsten sieh einfach mal in den Logs nach, welcher Zugriff da genau geblockt wird.
Dann müsstest du zumindest die OCSP-Server der Zertifizierungsstellen ebenfalls zulassen, welche die Zertifikate für diese Domains ausgestellt haben.
Eventuell gibt es auch irgendwo eine mehr oder weniger vollständige Liste der OCSP-Server, welche man einfach ebenfalls whitelisten kann.
Ansonsten sieh einfach mal in den Logs nach, welcher Zugriff da genau geblockt wird.
Jetzt habe ich die Lösung für mein Problem gefunden, erklären kann ich mir das aber nicht. Wer kann?
Lösung: cmd: netsh winhttp set proxy "meinproxy"
Damit gehören die Warnungen der Vergangenheit an.
Dennoch, vielen Dank an wisebeer & LordGurke.
cheers
Lösung: cmd: netsh winhttp set proxy "meinproxy"
Damit gehören die Warnungen der Vergangenheit an.
Dennoch, vielen Dank an wisebeer & LordGurke.
cheers
Zitat von @kaalax:
Jetzt habe ich die Lösung für mein Problem gefunden, erklären kann ich mir das aber nicht. Wer kann?
Lösung: cmd: netsh winhttp set proxy "meinproxy"
Das ist ganz einfach. Sperrinformationen werden nicht direkt sondern mit dem Winhttp Dienst heruntergeladen, und wenn ein Proxy vorgeschaltet ist schlagen die CRL Downloads fehl weil eben Winhttp ohne Proxyangabe nicht ins Web kommt.Jetzt habe ich die Lösung für mein Problem gefunden, erklären kann ich mir das aber nicht. Wer kann?
Lösung: cmd: netsh winhttp set proxy "meinproxy"
https://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx
1
