Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie funktioniert ein HTTPS Proxy? Ist das zeitgemäß?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: flyingKangaroo

flyingKangaroo (Level 1) - Jetzt verbinden

19.06.2017 um 21:35 Uhr, 875 Aufrufe, 6 Kommentare

Hallo,

ich war bisher immer der Meinung wenn im Browser ein Proxyserver für HTTPS eingetragen ist, dann stellt der Proxyserver lediglich einen TCP-Tunnel bereit, über den dann die eigentliche HTTPS-Verbindung zw. Browser und dem Ziel-Webserver läuft. Ohne weitere Schweinereien ist die Verbindung dann trotzdem gesichert und die Daten liegen dann zu keinem Zeitpunkt zwischen Client und Webserver unverschlüsselt vor.
Was damit natürlich auch gemeint sein kann ist evtl. eine HTTPS-Verbindung zw. Client und Proxy... das wäre ja dann lediglich eine https-Adresse als Proxy-Adresse sowie ein gültiges Zeritifkat (hab ich aber selber noch nicht ausprobiert).

Jetzt habe ich gelesen, dass auf "ALGs" (Contentfilter o.ä.) die Verbindung z.T. 'aufgebrochen' wird. Bekommt man sowas am Client mit? Erledigt sich sowas nicht in kürze wieder aufgrund von HPKP (Public Key Pinning)?

Danke.

Gruß

Dieter
Mitglied: Lochkartenstanzer
LÖSUNG 20.06.2017 um 06:28 Uhr
Moin,

Klassische Proxies haben bei ssl-Verbindungen einfach nur die Daten weitergereicht, ohne diese zu manipulieren. Das bedeutet aber auch, daß eon Contentfilter auf dem Proxy nicht greift, was in vielen Firmenumgebungen nivht erwünscht ist. Deswegen eerden in solchen Umgebungen die ssl-Verbindungen aufgebrochen und durch eine neue ssl-verbindung des proxies zum Server ersetzt.

Der client merkt das anhand der Zertifikats, das er präsentiert bekommt (Du prüfst doch hoffentlich immer die Zertifikate, auch wenn Dein Browser sich nicht beschwert?)

Allerdings haben da einige Hersteller bei ihren ALG so geschlampt, daß die Sicherheit der Verbndung durvh das ALG eher gefährdet war.

Das Key-Pinnng wird nur die nächste Stufe der Eskalation einleiten, weil Firmen ihre Verbindungen nach draußen kntrollieren wollen.

lks
Bitte warten ..
Mitglied: flyingKangaroo
21.06.2017 um 00:13 Uhr
Was ich dann aber nicht ganz verstehe:
Ich baue eine Verbindung zu z.B. https://www.google.com auf... das Zertifikat was mir der ALG präsentiert ist aber doch keinesfalls auf google.com ausgestellt - warum schlägt der Browser nicht Alarm, dass das Zertifikat nicht passt?
Bitte warten ..
Mitglied: Rudbert
21.06.2017 um 07:38 Uhr
Das Zertifikat muss vorher auf dem Client in die Vertrauenswürdigen Stammzertifizierungsstellen importiert werden z.B. für den IE und Chrome per GPO oder den Firefox per Script.

Ansonsten wäre ja das ganze HTTPS ad absurdum geführt.

Am Client erkennst du das, indem du das Zertifikat inspizierst; dann ist beispielsweise das google.de SSL-Zertifikat signiert von deiner Firma und nicht Google.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 21.06.2017, aktualisiert um 08:09 Uhr
Zitat von flyingKangaroo:

Was ich dann aber nicht ganz verstehe:
Ich baue eine Verbindung zu z.B. https://www.google.com auf... das Zertifikat was mir der ALG präsentiert ist aber doch keinesfalls auf google.com ausgestellt - warum schlägt der Browser nicht Alarm, dass das Zertifikat nicht passt?

Weil die das root-Zertfikat daß das ALG-zertifikat ausgestellt hat, im Browser als Vertrauenswürdig eingetragen wurde oder das ALG stellt on-the-fly Zertifikate aus und signert sie mt einem Vertrauenswürdigen Zertifikat so das der brwoser denkt er kommuniziert wirklich mit google. Symantec ist dahingehend schon negativ aufgefallen, ist aber nicht der einzige böse Bube in diesem Spiel.

Man muß sich bewußt machen, das die ALGs genau das machen, was man als (erfolgreichen) MITM-Angriff bezeichnet.

Deswegen geht google inzwischen zu Zertificate-pinning bei ihren domains und produkten über, damit die user das merken.

lks
Bitte warten ..
Mitglied: flyingKangaroo
24.06.2017 um 09:30 Uhr
Danke. Jetzt hab ich's verstanden
Bitte warten ..
Mitglied: danielr1996
14.11.2017 um 19:05 Uhr
Zitat von flyingKangaroo:
Erledigt sich sowas nicht in kürze wieder aufgrund von HPKP (Public Key Pinning)?

Chrome wird Key Pinning vermutlich wieder aufgeben, da es zu mehr Problemen geführt hat als es gelöst hat (https://www.golem.de/news/https-chrome-will-http-public-key-pinning-wied ...)

LG Dani
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Wie zeitgemäß ist ein HTTP-Proxy noch?
Frage von flyingKangarooLAN, WAN, Wireless5 Kommentare

Ich wollte mal fragen wie hier die (vermutlich nicht 'einhellige') Meinung so ist: Ist ein HTTP-Proxy im Unternehmensnetzwerk noch ...

Erkennung und -Abwehr
HTTPS Antivir Proxy ja oder nein?
Frage von MimetypeErkennung und -Abwehr17 Kommentare

Moin, gibt es eigentlich mittlerweile fundierte Aussagen/Untersuchungen zum Thema "HTTPS Antivir Proxy ja oder nein"? Oder basiert das Thema ...

Erkennung und -Abwehr
Zusätzlicher https Antivirus-Proxy zu Avast?
Frage von hans.meyer0Erkennung und -Abwehr3 Kommentare

Hi Macht es Sinn einen zusätzlichen zentralen https Antivirus-Proxy zusätzlich zu Avast Business zu betreiben? Kann dadurch noch die ...

SEO
Wie funktioniert eine HTTPS Verschlüsselung?
Frage von YanmaiSEO5 Kommentare

Hallo ihr Administratoren, ich werde mir jetzt doch ein SSL Zertifikat kaufen. Mir schwebt dieses hier vor: das erste ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 StundeWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 StundeWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 13 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 20 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...