Ngb.to aus internem Netzwerk nicht erreichbar

[Fetzi]

Passt womöglich nicht ganz hier rein, falls falsch bitte verschieben.
Seit einigen Tagen habe ich das Phänomen das das ngb Board nicht mehr aus unserem firmennetz erreichbar ist. Egal mit welchem Browser.
Firefox kommt Standardmeldung Seite nicht erreichbar, Chrome kommt folgendes (von ngb generiert?) :

Ich konnte keine andere Seite finden die nicht funktioniert.
Durch die Firewall blockiert kann fast nicht sein, da kommt dann direkt von der Firewall ne Meldung.
Im Browser oben vor der Adresse wo normalerweise das Schloss wäre steht auch das Ausrufezeichen mit "Verbindung zur Seite nicht sicher" oder so ähnlich. Kann aber das Zertifikat so nicht anzeigen lassen. Egal mit welchem Browser.
Jemand eine Idee?

 

[one]

Das Zertifikat ist im Dezember abgelaufen.

 

[Fetzi]

Danke, das wird wohl die Erklärung sein.
Komischerweise konnte ich das Zertifikat mit keinem Browser anzeigen. Hatte das in Erinnerung das das geht. Bzw. kann ich mir mit dem Browser die Zertifikate anderer Seiten die nicht abgelaufen sind anzeigen lassen.
Wahrscheinlich blockiert die Firewall das komplett wenn das Zertifikat nicht aktuell ist.
Scheinbar hat da bei uns vor kurzem die zuständige Abteilung etwas geändert.
Oder es gibt in der Firewall sowas wie ne Übergangszeit, das Seiten mit abgelaufenen Zertifikaten erst X Monate nach Ablauf blockiert werden.

Auch wenn es einige freut, dass ich dann zu normalen Arbeitszeiten nichts mehr lesen/posten kann, wird das Zertifikat mal erneuert?

 

[drfuture]

Das aktuelle Zertifikat geht eigentlich bis 23.04.



Einmal mit Shift+f5 neu laden?
Wobei in der Tat fraglich ist warum er das nicht von selbst aktualisiert.

 

[Fetzi]

Ich probiere es morgen mal. Cache leeren vielleicht oder so.
Die Meldung mit dem Werbeblocker usw. deutet auch auf das Zertifikat hin?

 

[drfuture]

Die Meldung kommt immer dann, wenn der Zielserver nicht erreicht werden kann.
Das kann eine DNS-Sperre sein, der Browser ist so konfiguriert das er bei ungültigem Zertifikat keine Verbindung herstellt - oder z.B. am Handy auch "keine Internetverbindung".

 

[musv]

Oder im Firmennetzwerk gibt's eine SSL-Inspection in der Firewall, die das Zertifikat aufbricht und durch ein Firmenzertifikat ersetzt. Wenn da was nicht richtig konfiguriert ist, können auch solche Probleme auftreten. Dann wären aber auch andere Seiten betroffen.

 

[Fetzi]

gibt's eine SSL-Inspection in der Firewall,

Gibt es, und hatte früher auch Probleme gemacht. Allerdings konnte ich außer ngb.to keine Seite mehr finden die gerade nicht läuft.
Hast du eine Idee was da falsch konfiguriert sein könnte?
F5 oder Cache leeren hat natürlich nicht funktioniert.

 

[drfuture]

Seiten mit aktivem HSTS dürfen / können (meist) nicht aufgebrochen werden.

 

[Fetzi]

Seiten mit aktivem HSTS dürfen / können (meist) nicht aufgebrochen werden.

D.h man würde diese Seiten aus der ssl-packet inspection rausnehmen müssen oder kann generell nicht mehr darauf zugreifen?

Ssl-trust.com sagt irgendwas von Zertifikat abgelaufen 22.06.2022:
[/url

 

[drfuture]

jo - wurde gestern aktualisiert da das Datum wie auf meinem Screenshot der 23.04. war und am Fr. abgelaufen wäre.
@ssl - inspection - ja genau.

Wobei HSTS-Seiten allgemein ausgenommen sein sollten / Bzw. natürlich je nach Sicht des Unternehmens. Aber der Sinn ist hier das die Verbindung eben nicht aufgebrochen werden darf.
Wenn die Firma nun sagt das Verbindungen immer aufgebrochen werden müssen oder nicht besucht werden dürfen - steht das dem ein wenig im Konflikt.

 

[one]

Mein Screen entstand mobil per Brave. Strg+F5 ist da blöd.

Sieht aber am Desktop per Chrome dann auch besser aus:

 

[Fetzi]

Ja, außer wenn man wie ich den 22.06.2022 in der Vergangenheit verortet🤣.

 

[one]

Mich hätte das auch gewundert, denn die Zertifikate werden in der Regel automatisiert verlängert. Jedenfalls ist das bei mir so.

 

[drfuture]

Jo ist auch so

 

[Fetzi]

Vielleicht finde ich ja raus woran es liegt. An den Zertifikaten dann wohl nicht, ngb ging heute auch nicht.
HSTS Seiten allgemein zu blockieren würde ich den Typen zwar zutrauen, aber wahrscheinlich würden dann doch auch viele andere Seiten nicht gehen außer ngb?

 

[drfuture]

Gibt sicher vom Anbieter des proxy eine Whitelist mit bekannten "guten" Seiten ....

 

[Fetzi]

Das kann ich mal versuchen rauszubekommen.
Die Meldung wenn die firewall eine Seite blockiert kenne ich, die ist halt ne andere. Da steht dann auch direkt warum die Seite blockiert wurde (Kategorie).
Daher denke ich fast es ist etwas anderes.
Das Ding ist halt, wenn ich der zuständigen Abteilung sage ngb.to funktioniert nicht ist wird das zu nichts führen.
Wenn ich sage xyz funktioniert nicht wegen z.B. der HSTS Geschichte wird vielleicht mal nachgeschaut.
Wenn HSTS Seiten generell blockiert werden würden wäre mir das doch sicher bei anderen Seiten auch aufgefallen?
Keine Ahnung von dem Thema, ist das etwas exotisches oder nutzen das viele Seiten? Falls ja, ist vielleicht eine andere Beispielseite bekannt dann probiert ich das mal aus.

 

[drfuture]

Wie viele das nutzen habe ich ehrlich gesagt nie geprüft
Sinnvoll es zu aktivieren ist es alle mal da es eben unter anderem das unbemerkte Aufbrechen der verschlüsselten Verbindung verhindert.

 

[musv]

Sofern eine SSL-Inspection stattfindet, müsstet du das sehen, wenn du Dir die Zertifikatsdaten ansiehst. In unserem Firmennetzwerk wird das Zertifikat dann durch das firmeneigene Zertifikat ersetzt.

In Deinem Fall (s.o. Screenshot) sieht das allerdings nicht so aus.

Zu Seiten, die mit SSL-Inspection nicht mehr funktionieren, gehören eigentlich sämtliche Portale von Online-Banken.

Was du machen könntest, falls das der Fall sein sollte:
Am Client: nichts
Am Telefon: IT-Abteilung anrufen, dass die die Firewall umkonfigurieren und eine Ausnahme für die Seite definieren.

SSL-Inspection hat halt durchaus ihre Berechtigung, wenn eine Kontrolle nach Schadsoftware erfolgen soll.