Firefox 5 - kein SSL über lokalen Proxy mehr?

    Ich verwende sowohl Firefox als auch das lokale Webfilter-Programm Proxomitron bereits seit Jahren. Nachdem ich nun bei Firefox ein Upgrade auf Version 5 durchführte, muss ich feststellen, dass über einen (lokalen) Proxy keine SSL-Verbindung mehr unterstützt wird (die normale HTTP-Unterstützung funktioniert auf diesem Wege weiterhin einwandfrei).

    Konkret:

    Firefox - Netzwerkverbindungen - "Manuelle Proxy-Konfiguration": Eintrag bei HTTP- und SSL-Proxy: 127.0.0.1 und Port 8080

    a) Ich habe zunächst an ein Problem mit der Firewall gedacht - ist es aber nicht: selbst bei vollständig deaktivierter Firewall kann ich nicht auf https-Seiten zugreifen.

    b) Es liegt auch nicht am Filterprogramm: selbst bei der Einstellung "bypass" unter Proxomitron - bei der also keine Veränderung am Datenverkehr durchgeführt wird - kann keine SSL-Verbindung aufgebaut werden.

    Die HTTP-Seiten können wie gewohnt mit Proxomitron einwandfrei angesteuert werden, und bei der Firefox-Einstellung "kein Proxy" funktioniert auch der SSL-Kanal einwandfrei. Aber die Kombination Proxomitron und Firefox 5 sowie SSL (also SSL-Seiten über die "manuelle Proxykonfiguration") funktioniert leider eben nicht mehr.

    Falls ich nicht versehentlich irgendeine Einstellung beim Windows-Betriebssystem verändert habe, kann ich mir den Fehler nicht erklären.

    Über Anregungen wäre ich sehr dankbar.

    SSL über Proxomitron solltest du ganz schnell abwählen - die SSL-Libs sind steinalt und alles andere als sicher.
    Daher wird auch das SSL-Cert nicht mehr als sicher angenommen und verworfen, Arschkarte.
    Normaler Proxy-Betrieb ist immer noch möglich.

    Warum du SSL-Seiten filtern möchtest, solltest du dir eh mal überlegen - SSL hat einen bestimmten Zweck,
    er mit jedem Proxy ad absurdum geführt wird.

    @ XtC4UaLL

    vielen Dank. Das war es!

    @ Brummelchen

    ich gebe Dir inhaltlich recht. Mir ging es darum, was rein technisch möglich ist. Wenn ich mich nicht täusche, war es in älteren Firefox-Versionen möglich, Proxomitron auch bei SSL-Verbindungen zu nutzen, OHNE dass in Proxomitron die Option "Filterung SSL-verschlüsselter Seiten aktivieren" gesetzt war. Der Webfilter wurde sofort im Bypass-Modus ausgeführt. Demnach war ich jetzt überrascht, dass in Firefox 5 ein derartiger Bypass nicht mehr toleriert wird.

    Unabhängig von der technischen Seite: Warum sollte es abwegig sein, bei Seiten wie z.B. Ebay (SSL & JavaScript) als User das Ausführen bestimmter Scripte (die ich Filter vorab benenne) durch Ebay nicht akzeptieren zu wollen? Proxomitron kann so betrieben werden, dass er die SSL-verschlüsselten Daten entschlüsselt, filtert und neu verschlüsselt. Man hat dann zwei unabhängige SSL-Verbindungen: Eine zwischen Webserver und Proxomitron und eine zwischen Proxomitron und Browser. Sofern also Browser, Filterprogramm und Firewall mitspielen ...

    Wenn du Proxo auf bypass stellst, filtert er nichts mehr - dann kannst du das auch gleich abwählen.
    Und nein, Firefox erkennt nicht, wer ihn da bedient - ob Webseite direkt oder Proxo.
    Daher kann ich dir für alle Firefox jetzt sagen, dass deine Annahme nicht richtig ist.
    Du konntest und kannst lediglich eine Ausnahme in Firefox für Proxo-SSL erstellen,
    ob das Bestand hat, weiss ich gar nicht, ewig nicht benutzt weil (siehe oben).

    SSL Filter bedeutet - das Cert vom Server erstmal als sichern zu verifizieren, die Daten zu entschlüsseln
    und dann mit eigenem Cert neu verschlüssel. Problem dabei ist - siehe oben - steinalt und abgelaufen.

    Problem bei Proxo und SSL ist halt, weil eben diese Libs steinalt sind, auch falsche Certs nicht mehr
    erkennt und andere Sicherheitslücken beinhaltet. Libs tauschen geht nicht, weil Proxo die nur mit Fehlern
    ausführt und sogar tiltet. proxo wird auch seit wieviel Jahren/Jahrzehnten seit Tod des Autor
    nicht mehr fortgeführt - die Erben haben das so beschlossen. Demzufolge ist der 16-Bit Code (!)
    verdammt alt und deswegen arschlahm (vergleiche zB Ad Muncher oder Privoxy).

    /ot persönlich mag ich auch den miesen Stil vom deutschen Proxo-Forum (MB) nicht.
    Nahezu alle fertigen Filter hier sind raus, nutze nur noch eigene, den Rest erledigt Ad Muncher.

    bzgl Ebay - SSL besagt, dass jene Seite zertifiziert wurde, aber nicht, ob tatsächlich zu 100% sicher.
    Regulär kann man sich drauf verlassen. Ich wüsste jetzt auch kein Script von Ebay selbst, welches
    unsicher wäre - eher die anbieterseitig eingebundenen Flash oder sonstiger Quatsch - DEN sollte man
    im Auge haben. Ad Muncher filter übrigens auch kein SSL - eben weil besagtes SSL-Filtern
    diesen Aufwand des Entschüsselns/Verschlüsselns beinhaltet - dieser Akt ist mit Fehlern und Fallen
    gespickt, sollte man daher Programmen überlassen, sie das auch richtiger können. Ist auch teilweise
    ne Preisfrage - ein Cert für SSL kostet richtig Asche.

    Ich bleibe bei meiner Empfehlung - lass es bei Proxomitron aus - es ist gefährlich.

    Zitat von Brummelchen

    […] ein Cert für SSL kostet richtig Asche.

    Habe mich mit dem Thema nie richtig beschäftigt, wenn ich also falsch liegen sollte, gleich die Bitte um Nachsicht.

    Wenn ich hier How-to: Setup a secure web proxy using SSL encryption, Squid Caching Proxy and PAM authentication nachlese und auch How to Enable SSL Squid beachte, kann ich die SSL-Inhalte nutzen und auch nach meinem Gusto modifizieren.

    So ein Cert wird dabei so nebenbei generiert.

    Das ist aber kein nach aussen nachprüfbares Cert wie das von Verisign, Comodo und anderen Ausstellern.
    Du kannst jederzeit von Unis und anderen Drittanbietern Certs bekommen, die aber nach
    aussen hin nicht gültig sind, sondern nur von jener Stelle anerkannt werden. Ich habe dazu letztes
    Jahr mal speziell nachgefragt und man hatte mich entsprechend aufgeklärt.
    Das nur am Rande - bei Proxo wie geschrieben.

    Zitat von Brummelchen

    Das ist aber kein nach aussen nachprüfbares Cert […]

    Klar, aber wo besteht denn diese Notwendigkeit ?

    Die Prüfung des Zertifikats erfolgt doch immer nur auf die Gegenstelle und nicht umgekehrt.