FF 1.0DE und https: Verwendung von Port 80 Bug - und Lösung!

    Hi,

    Zuerst die Daten :)

    OS: egal, dieses Phänomen ist nicht vom OS abhängig,
    FF: Version 1.0DE (Gecko/20041122 Firefox/1.0),
    Webwasher als lokaler Proxy auf 8080,
    Kerio Firewall 4.1, Port 80 komplett gesperrt, Port 8080 und 443 für FF explizit freigegeben,
    in FF (nur) unter http Webwasher als 127.0.0.1:8080 - Proxy eingetragen.

    jetzt das Problem:

    Beim Aufruf von https-Seiten versucht FF zuerst, eine Verbindung zu 12.166.243.30 auf Port 80 aufzubauen. http://www.ripe.net sagt, diese IP gehört zu Verisign.

    Dieses Phänomen ist im Forum schon von mehreren Personen beschrieben worden. Bisherige Lösungsansätze hatten dabei immer die Firewall in Verdacht. Eine "echte" Lösung habe ich bisher nicht gefunden.

    Und nun mein Erklärungsversuch:

    'Schuld' ist IMHO die OCSP-Option in den "Erweitert"-Einstellungen. Steht diese auf "OCSP nur zur Validierung von Zertifikaten verwenden, die eine OCSP-Service-URL angeben" steht, erfolgt vor jedem https:-Verbindungsaufbau ein Zugriff auf Port 80 auf die o.a. IP-Adresse (bzw. ich habe bei meinen Versuchen keine andere IP bemerkt).

    Jetzt die Frage an die Spezifikations-Spezialisten:
    Ist das ein Feature? Erfordert OCSP zwingend eine Verbindung auf Port 80?
    Wenn nein, halte ich das für einen Bug, denn das OCSP-Protokoll sollte sich bei outgoing connections dann wie http verhalten und die Proxy-Einstellungen berücksichtigen...

    Hi,

    Zitat

    Vielleicht will er zu port 80 Verbinden um das Zertifikat auf Echtheit zu prüfen. Wenn du sagst das die URL zu Verisign gehört, dann kann das gut möglich sein.

    Mir ist schon klar,dass das der Versuch ist, das Zertifikat zu authentifizieren. Nur kann das nicht funktionieren, wenn Port 80 für derlei Versuche gesperrt ist. Ne Menge Firmen, die Port 80 sperren und einen Proxy z.B. auf 8080 betreiben, können Firefox mit aktivierter OCSP-Option nicht betreiben.

    Meine Frage war,

    Zitat

    Ist das ein Feature? Erfordert OCSP zwingend eine Verbindung auf Port 80?
    Wenn nein, halte ich das für einen Bug, denn das OCSP-Protokoll sollte sich bei outgoing connections dann wie http verhalten und die Proxy-Einstellungen berücksichtigen...

    Ich denke schon, denn du kannst denen ja nicht vorschreiben auf welchem Port die sein sollen....Port 80 ist eben das normale Netz und wer den sperrt ist selbst schuld. Wennn du das so haben willst musst du das Zertifikat im Netzwerk ablegen und dann die Prüfung über's Netzwerk machen. So sollte es gehen....

    mdg-webmaster

    sehr interessant, deine feststellung. ich habe die connections gerade ausgiebig gesnifft (sitze tagsüber auch hinter einem proxy:8080) und kann keine verbindungsversuche feststellen, die nicht über den proxy/port laufen bzw. nicht an ihn gerichtet sind - insofern erst einmal alles korrekt. ich kann mich leider erst heute abend weiter darum kümmern, aber werde ich auf jeden fall machen, interessiert mich jetzt auch.
    in firmennetzen, wo diverse firewall-konzepte den verkehr regeln, sind prinzipiell alle ports "gesperrt", soll heißen, an (in rules zugelassene) ports werden anfragen ausschließlich über den proxy weitergeleitet . bei p80 sehe ich und ist auch kein problem.
    ich gebe abend noch einmal meinen senf dazu, vielleicht hat in der zwischenzeit noch jemand einen genialen gedanken dazu.

    viele grüße

    warst schneller, webmaster :wink:

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

    Also ich habe mal bei Lufthansa Cargo ein Praktikum absolviert und da ist das interne Netzwerk frei. Also Intranet. Wenn ich jetzt auf eine Seite außerhalb gehe, dann musste ich mich mit einem usernamen und Passwort am Proxy anmelden, aber dann war der Port offen und ich kontte überall hin surfen.

    Prizipiell sollen Port 80, 8080, 21, 25, 110, 443 offen sein.

    mdg-webmaster

    so, habe den test noch einmal mit einem dezidierten internetzugang ohne proxy durchgeführt. auch hier keinerlei anfragen an verisign, nur dns-query und "normaler" datenverkehr zur betreffenden https-seite. das login scheitert einzig und allein am falschen zertikat, logisch. ein problem "OCSP-proxy" sehe ich definitiv nicht, der fox verhält sich meiner meinung nach korrekt.

    tom patapom
    vielleicht kannst du mal genau mitteilen, "wer" auf deiner maschine zu verisign connecten will. ich kann die abläufe bei deiner konfiguration (webwasher als lokaler proxy, kerio usw.) vorerst nicht reproduzieren.

    mdg-webmaster
    wenn bei Lufthansa Cargo der internetzugang zusätzlich über ein authentication server geregelt wird, ist das ok. eine "firewall" ist immer als firewall-konzept zu verstehen, das fängt beim einfachen packetfilter an und geht bis zu einer vielzahl von proxydiensten/servern mit z.t. sehr regressiven rules. viele firmen handeln auch nach der devise: "internet für alle", der user bekommt von den abläufen ohnenhin kaum etwas mit. wenn etwas versucht wird, was nicht den policies entspricht, wird er, je nach frontend, darauf automatisch hingewiesen.

    viele grüße

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ