22
Eigener Server aus dem Firmennetz mit Firefox und IE nicht erreichbar. Fehlermeldung SSL ERROR RX RECORD TOO LONG
Hallo,
ich habe einen eigenen Server mit einer *.koeln Domain.
Diesen konnte ich bis vor 2 Tagen aus dem Firmennetz (VPN) noch erreichen. Jetzt auf einmal meldet Firefox diesen o.g. Fehler.
Seltsamerweise erreiche ich die www-Domain nicht, kann aber die Subdomain webmail.xxx.koeln erreichen.
Ich habe bei mir nichts verändert. Scheinbar wurden beim Firmennetz Einstellungen angepasst.
Kann mir jemand helfen, wie ich hier vorgehen kann, damit ich die Seite wieder erreiche?
Die Seite läuft auf einem Nginx Server und wird über einen Apache Reverse Proxy bereit gestellt.
Vielen Dank!
ich habe einen eigenen Server mit einer *.koeln Domain.
Diesen konnte ich bis vor 2 Tagen aus dem Firmennetz (VPN) noch erreichen. Jetzt auf einmal meldet Firefox diesen o.g. Fehler.
Seltsamerweise erreiche ich die www-Domain nicht, kann aber die Subdomain webmail.xxx.koeln erreichen.
Ich habe bei mir nichts verändert. Scheinbar wurden beim Firmennetz Einstellungen angepasst.
Kann mir jemand helfen, wie ich hier vorgehen kann, damit ich die Seite wieder erreiche?
Die Seite läuft auf einem Nginx Server und wird über einen Apache Reverse Proxy bereit gestellt.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 575525
Url: https://administrator.de/contentid/575525
Printed on: April 24, 2024 at 02:04 o'clock
22 Comments
Latest comment
Moin,
Also Dein privater oder der der Firma?
Guckst Du hier: https://www.ssl247.de/kb/ssl-certificates/troubleshooting/apache/ssl-err ...
Bricht da vielleicht die Firma https auf, um mitlesen zu können? Zwangsproxy?
Liebe Grüße
Erik
Also Dein privater oder der der Firma?
Diesen konnte ich bis vor 2 Tagen aus dem Firmennetz (VPN) noch erreichen. Jetzt auf einmal meldet Firefox diesen o.g. Fehler.
Guckst Du hier: https://www.ssl247.de/kb/ssl-certificates/troubleshooting/apache/ssl-err ...
Ich habe bei mir nichts verändert. Scheinbar wurden beim Firmennetz Einstellungen angepasst.
Bricht da vielleicht die Firma https auf, um mitlesen zu können? Zwangsproxy?
Liebe Grüße
Erik
Ja, ist mein privater Server, der auf einem FreeBSD läuft.
Wenn ich den Server bei ssllabs teste, bekomme ich ein A+.
Nur bei 2 Cipher zeigt es mir "weak" an.
Sollte ich diese vielleicht entfernen?
Der Proxy wird als automatisches Skript in unseren Browsern eingefügt. Nun weiss ich nicht, was an meiner Seite "schlimm" sein soll.
Dort läuft ein Wordpress und man kann sich Informationen zu Smart-Home durchlesen.
Habe ich die Möglichkeit, herauszufinden, was genau den Proxy stört?
Wenn ich den Server bei ssllabs teste, bekomme ich ein A+.
Nur bei 2 Cipher zeigt es mir "weak" an.
Sollte ich diese vielleicht entfernen?
Der Proxy wird als automatisches Skript in unseren Browsern eingefügt. Nun weiss ich nicht, was an meiner Seite "schlimm" sein soll.
Dort läuft ein Wordpress und man kann sich Informationen zu Smart-Home durchlesen.
Habe ich die Möglichkeit, herauszufinden, was genau den Proxy stört?
Hast Du die Seite gelesen, die ich verlinkt habe? Die Meldung heißt: SSL/TLS wurde erwartet, unverschlüsselt kam an.
Tritt der Fehler denn nur in der Firma auf? Oder auch bei anderen?
The web server is sending non-secure (HTTP) data where secure (HTTPS) data is expected by Firefox. This can be confirmed by going to http://server-name:443 instead of https://server-name.
Tritt der Fehler denn nur in der Firma auf? Oder auch bei anderen?
Klar, habe die Seite gelesen und auch mit meiner *.conf verglichen.
Auch sollte ja die SSL Test Seite einen Fehler ausspucken, wenn SSL nicht richtig konfiguriert ist.
Das Problem habe ich an meinem Firmenrechner auch nicht, wenn ich außerhalb des VPN bin - dann wird der Firmen-Proxy nicht genutzt.
Kannst gerne die Seite mal anschauen, ob dort etwas "Fehlerhaftes" ist, was ich nicht sehe.
https://www.kreyenborg.koeln (geht nicht aus dem VPN)
https://webmail.kreyenborg.koeln (geht aus dem VPN)
beide Seiten liegen auf dem gleichen Jail und nutzen den gleichen Server
Auch sollte ja die SSL Test Seite einen Fehler ausspucken, wenn SSL nicht richtig konfiguriert ist.
Das Problem habe ich an meinem Firmenrechner auch nicht, wenn ich außerhalb des VPN bin - dann wird der Firmen-Proxy nicht genutzt.
Kannst gerne die Seite mal anschauen, ob dort etwas "Fehlerhaftes" ist, was ich nicht sehe.
https://www.kreyenborg.koeln (geht nicht aus dem VPN)
https://webmail.kreyenborg.koeln (geht aus dem VPN)
beide Seiten liegen auf dem gleichen Jail und nutzen den gleichen Server
Moin,
Es gibt auf Deiner Seite keinen Fehler. Die Zertifikate scheinen in Ordnung. Es ist ja auch bei beiden dasselbe Wildcard-Zertifikat.
Frage mal Deine Admins, ob hier (teilweise) evtl. versucht wird SSL/TLS aufzubrechen, um mitlesen zu können. Das ist das, was ich vermute. Wenn es vom Prinzip geht und nur in der Firma nicht, dann würde ich Deine Konfiguration erst einmal als korrekt ansehen.
Liebe Grüße
Erik
Zitat von @SKB-CGN:
Klar, habe die Seite gelesen und auch mit meiner *.conf verglichen.
Auch sollte ja die SSL Test Seite einen Fehler ausspucken, wenn SSL nicht richtig konfiguriert ist.
Klar, habe die Seite gelesen und auch mit meiner *.conf verglichen.
Auch sollte ja die SSL Test Seite einen Fehler ausspucken, wenn SSL nicht richtig konfiguriert ist.
Es gibt auf Deiner Seite keinen Fehler. Die Zertifikate scheinen in Ordnung. Es ist ja auch bei beiden dasselbe Wildcard-Zertifikat.
Das Problem habe ich an meinem Firmenrechner auch nicht, wenn ich außerhalb des VPN bin - dann wird der Firmen-Proxy nicht genutzt.
Frage mal Deine Admins, ob hier (teilweise) evtl. versucht wird SSL/TLS aufzubrechen, um mitlesen zu können. Das ist das, was ich vermute. Wenn es vom Prinzip geht und nur in der Firma nicht, dann würde ich Deine Konfiguration erst einmal als korrekt ansehen.
Liebe Grüße
Erik
Danke, das beruhigt mich schonmal.
Man übersieht ja mal leicht etwas bei den ganzen Konfigurationen
Kannst Du vielleicht kurz erläutern, wie dieses SSL/TLS aufbrechen geht?
Wieso aber dann meine Seite nicht läuft, aber z.B. administrator.de schon
Man übersieht ja mal leicht etwas bei den ganzen Konfigurationen
Kannst Du vielleicht kurz erläutern, wie dieses SSL/TLS aufbrechen geht?
Wieso aber dann meine Seite nicht läuft, aber z.B. administrator.de schon
Moin,
Vom Prinzip so:
Die Clients werden so konfiguriert, dass sie zwangsweise auf einen Proxy zugreifen müssen. Es besteht also keine direkte Verbindung ins Internet. Dann stelle ich den Proxy so ein, dass er bei Anfragen per https diese nicht 1:1 an den Server weitergibt, sondern die Originalanfrage abfängt und selbst mit dem Zielserver eine https-Verbindung aufbaut. Der Zielserver benutzt nun zum Verschlüsseln die Sitzungskeys, die mit dem Proxy ausgehandelt werden. Der kann nun entschlüsseln und ich kann mitlesen. Wenn ich es ganz geschickt mache, dann installiere ich noch auf dem Client eine CA als vertrauenswürdig, mit deren Zertifikaten ich nun wiederum zwischen dem Proxy und dem Client eine https-Verbindung aufbaue. Dann merkt der User nur dann was, wenn er sich das Zertifikat ansieht.
Das musst Du Deine Admins fragen.
Liebe Grüße
Erik
Vom Prinzip so:
Die Clients werden so konfiguriert, dass sie zwangsweise auf einen Proxy zugreifen müssen. Es besteht also keine direkte Verbindung ins Internet. Dann stelle ich den Proxy so ein, dass er bei Anfragen per https diese nicht 1:1 an den Server weitergibt, sondern die Originalanfrage abfängt und selbst mit dem Zielserver eine https-Verbindung aufbaut. Der Zielserver benutzt nun zum Verschlüsseln die Sitzungskeys, die mit dem Proxy ausgehandelt werden. Der kann nun entschlüsseln und ich kann mitlesen. Wenn ich es ganz geschickt mache, dann installiere ich noch auf dem Client eine CA als vertrauenswürdig, mit deren Zertifikaten ich nun wiederum zwischen dem Proxy und dem Client eine https-Verbindung aufbaue. Dann merkt der User nur dann was, wenn er sich das Zertifikat ansieht.
Wieso aber dann meine Seite nicht läuft, aber z.B. administrator.de schon
Das musst Du Deine Admins fragen.
Liebe Grüße
Erik
Danke für die Erläuterung.
Ich habe einen der Admins gefragt und er sagte mir, dass vor etwa 3 Tagen ein neues CA installiert wurde.
Ich denke, dies deckt sich sehr mit Deiner Aussage.
Kann ich dieses Zertifikat irgendwo sehen?
Ich habe einen der Admins gefragt und er sagte mir, dass vor etwa 3 Tagen ein neues CA installiert wurde.
Ich denke, dies deckt sich sehr mit Deiner Aussage.
Kann ich dieses Zertifikat irgendwo sehen?
Zitat von @SKB-CGN:
Danke für die Erläuterung.
Ich habe einen der Admins gefragt und er sagte mir, dass vor etwa 3 Tagen ein neues CA installiert wurde.
Danke für die Erläuterung.
Ich habe einen der Admins gefragt und er sagte mir, dass vor etwa 3 Tagen ein neues CA installiert wurde.
AH!
Ich denke, dies deckt sich sehr mit Deiner Aussage.
Kann ich dieses Zertifikat irgendwo sehen?
Kann ich dieses Zertifikat irgendwo sehen?
Ja klar. Welcher Browser? Meist neben der URL in der Adresszeile ist ein kleines Schloss. Wenn Du da drauf klickst, kannst du feststellen, welches Zertifikat für die Verbindung genutzt wird. Sollte man aber wissen, wenn man eine Website betreibt.
Das ist klar ;)
Ich meinte eher das "neue" CA Zertifikat. Mein eigenes Zertifikat kenne ich ja
Ich meinte eher das "neue" CA Zertifikat. Mein eigenes Zertifikat kenne ich ja
Zitat von @SKB-CGN:
Das ist klar ;)
Ich meinte eher das "neue" CA Zertifikat. Mein eigenes Zertifikat kenne ich ja
Das ist klar ;)
Ich meinte eher das "neue" CA Zertifikat. Mein eigenes Zertifikat kenne ich ja
Einmal kannst Du in der Zertifikatsverwaltung nachschauen, welche Stammzertifikate installiert sind. Ansonsten meinte ich das auch eher so, dass Du, wenn Du verbunden bist, mal schaust, ob da wirklich Dein Zertifikat benutzt wird oder irgend etwas anderes.
Also, wenn ich verbunden bin und meine Seite z.B. webmail besuche, erscheint mein Zertiikat.
Wenn ich www.kreyenborg.koeln besuche, dann erscheint keine Seite, da er die SSL Settings anmeckert.
Mal weitersuchen, woran es noch liegen könnte.
Danke!
Wenn ich www.kreyenborg.koeln besuche, dann erscheint keine Seite, da er die SSL Settings anmeckert.
Mal weitersuchen, woran es noch liegen könnte.
Danke!
Zitat von @SKB-CGN:
Also, wenn ich verbunden bin und meine Seite z.B. webmail besuche, erscheint mein Zertiikat.
Wenn ich www.kreyenborg.koeln besuche, dann erscheint keine Seite, da er die SSL Settings anmeckert.
Mal weitersuchen, woran es noch liegen könnte.
Danke!
Also, wenn ich verbunden bin und meine Seite z.B. webmail besuche, erscheint mein Zertiikat.
Wenn ich www.kreyenborg.koeln besuche, dann erscheint keine Seite, da er die SSL Settings anmeckert.
Mal weitersuchen, woran es noch liegen könnte.
Danke!
Moin,
wenn du z.b. einen Chrome Browser nutzt, kannst du bei der Seite F12 drücken und unter Sicherheit sehen, was genau angemeckert wird.
Gruß
Spirit
Danke!
Wir nutzen firmlich leider den Firefox.
Wir nutzen firmlich leider den Firefox.
Der hat genauso "Entwickler Optionen". Die sind dort oben rechts in dem Menü zu finden.
Da konnte ich leider nichts entdecken.
Daher suche ich noch, wo der Fehler liegen könnte...
Daher suche ich noch, wo der Fehler liegen könnte...
Dann hast du das anscheinend nicht getestet:
https://www.heise.de/ct/artikel/Kleine-Hacks-mit-den-Entwicklertools-von ...
https://www.heise.de/ct/artikel/Kleine-Hacks-mit-den-Entwicklertools-von ...
Danke für den Artikel.
Wo genau soll ich dort denn eine Hilfestellung für mein Problem finden?
Wo genau soll ich dort denn eine Hilfestellung für mein Problem finden?
Du sollst dir in den Entwickler Optionen den security Bereich anschauen. Dort steht auch wieso dein Zertifikat angemeckert wird.
Ich soll .... aber wo?
Schneller geht es nur oben in der Leiste, neben dem Link. Dort klickst du auf das Schild. Dann auf den Pfeil rechts neben dem Schloss.
Anschließend auf "Weitere Informationen".
Dann werden die nötigen Punkte aufgelistet.
Ich habe jetzt gerade extra deswegen Firefox installiert.
Anschließend auf "Weitere Informationen".
Dann werden die nötigen Punkte aufgelistet.
Ich habe jetzt gerade extra deswegen Firefox installiert.
Soweit komme ich ja erst gar nicht.
Die Seite wird direkt vom Firmen-Proxy blockiert und ich versuche ja herauszufinden, wo das Problem liegt.
Die Seite wird direkt vom Firmen-Proxy blockiert und ich versuche ja herauszufinden, wo das Problem liegt.
