kaalax
Goto Top

Squid Proxy - Keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar

Hallo Adminz,

vermutlich ist es keine große Sache, aber bisher bin ich nicht fündig geworden. Folgendes Problem:

Beim Aufruf oder der Verarbeitung von etlichen "Standard" Webseiten wie z.B. bekannte E-Mail Provider web oder gmx erhalten die Windows Benutzer einen Sicherheitshinweis "Keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar. Möchten Sie den Vorgang fortsetzen?"
Wenn man auf "ja" klickt ist alles in Ordnung und es geht weiter. Mitunter ist es aber so, dass die Meldung mehrere Male hintereinander bestätigt werden muss. Die User sind genervt.

Im Einsatz ist ein Squid Proxy 3.5 (Ubuntu Server 16.04). Ich denke die Lösung muss damit zusammen hängen. Lasse ich einen der PCs mittels Firewallfreigabe direkt ins Internet werden keine Warnmeldungen angezeigt. Irgendwelche wichtigen Zertifikat Infos können den Squid scheinbar nicht passieren. Hat jemand eine Idee/Lösung?
Bitte seid gnädig, ich bin kein Experte auf dem Gebiet Zertifikate und auch nicht beim Squid. Danke an alle die sich an der Lösung beteiligen!

Gruß, kaalax

Content-ID: 371669

Url: https://administrator.de/forum/squid-proxy-keine-sperrinformationen-fuer-das-sicherheitszertifikat-dieser-site-verfuegbar-371669.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

wisebeer
wisebeer 19.04.2018 um 21:09:33 Uhr
Goto Top
Hallo Kaalax,

Filtert dein Proxy auch https Verbindungen? Dann müsstest du das Proxy Zertifikat auf allen Clients installieren, um den Fehler loszuwerden. HTTPS mit Squid filtern

LG Martin
LordGurke
LordGurke 20.04.2018 um 00:13:31 Uhr
Goto Top
Ich vermute, der Proxy lässt nur wenige, explizit zugelassene Domains durch?
Dann müsstest du zumindest die OCSP-Server der Zertifizierungsstellen ebenfalls zulassen, welche die Zertifikate für diese Domains ausgestellt haben.
Eventuell gibt es auch irgendwo eine mehr oder weniger vollständige Liste der OCSP-Server, welche man einfach ebenfalls whitelisten kann.
Ansonsten sieh einfach mal in den Logs nach, welcher Zugriff da genau geblockt wird.
kaalax
kaalax 23.05.2018 um 20:33:21 Uhr
Goto Top
Jetzt habe ich die Lösung für mein Problem gefunden, erklären kann ich mir das aber nicht. Wer kann?

Lösung: cmd: netsh winhttp set proxy "meinproxy"

Damit gehören die Warnungen der Vergangenheit an.

Dennoch, vielen Dank an wisebeer & LordGurke.

cheers face-smile
136166
136166 23.05.2018 aktualisiert um 22:00:58 Uhr
Goto Top
Zitat von @kaalax:

Jetzt habe ich die Lösung für mein Problem gefunden, erklären kann ich mir das aber nicht. Wer kann?

Lösung: cmd: netsh winhttp set proxy "meinproxy"
Das ist ganz einfach. Sperrinformationen werden nicht direkt sondern mit dem Winhttp Dienst heruntergeladen, und wenn ein Proxy vorgeschaltet ist schlagen die CRL Downloads fehl weil eben Winhttp ohne Proxyangabe nicht ins Web kommt.
https://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx