HTTPS entschlüsseln?

Wenn man in manchen Netzwerken z.B. etwas googlet und der Suchbegriff in der Blacklist ist wird die Anfrage blockiert obwohl es eine HTTPS Verbindung ist. Wie kann der Proxy dann trotz einer verschlüsselten HTTPS Verbindung die Suchbegriffe mit der Blacklist abgleichen?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

PC, Computer, Internet

29.04.2021, 14:52

Das geht nur, wenn der Proxy ein TLS-Proxy ist, der die Verbindung entschlüsselt. Genau genommen baust Du Deine verschlüsselte Verbindung nicht zur Suchmaschine auf, sondern zum Proxy. Der baut dann stellvertretend für Dich eine neue Verbindung zur Suchmaschine auf. So ein TLS-Proxy muss sorgfältig in der Netzwerkinfrastruktur integriert werden. Alle Endgeräte, die den Proxy nutzen sollen, müssen ein bestimmtes Zertifikat installiert haben. Zertifikate installieren sich nicht von alleine, sondern müssen mit Administrationsrechten installiert werden.

TLS-Proxys werden deshalb nur mäßig häufig eingesetzt, vorrangig in größeren Unternehmen. Ein Angriff mit einem solchen Proxy auf die Verschlüsselung ist kaum möglich, weil der Benutzer ohne das passende Zertifikat hässliche Zertifikatsmeldungen bekommt. Der Angriff fällt also auf.

BeamerBen

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

PC, Computer, Technik

29.04.2021, 14:20

Das geht nur wenn im System Software oder ein Wildcard Zertifikat installiert ist. So was kann aber schnell nach hinten los gehen und es wäre nicht das erste mal das irgendwelche Proxies oder Antivirus Programme Fehler in der validierung der echten Zertifikate haben. Das ist ein Sicherheits risiko, da der Browser nur das Zertifikat der Software oder der Middlebox sieht.

Aber normalerweise geht das nicht so einfach ohne Zugriff auf die Clients, du kannst zwar Domains blocken aber keine einzelnen Resourcen, wenn die Verbindung quasi "Ende zu Ende" mit https geschützt ist.

Bb4cm

Fragesteller

29.04.2021, 14:34

Ist das sowas wie ein TLS-Proxy?

BeamerBen

29.04.2021, 14:54

@Bb4cm

Weiß nicht was Leute alles unter TLS-Proxy verstehen und was nicht, aber ja eigentlich ist es genau das, eben als forward proxy. Wichtig ist eben das der Proxy Server ein eigenes cert hat dem die Clients vertrauen damit das funktioniert.

franzhartwig

29.04.2021, 14:54

Das geht nur wenn im System Software oder ein Wildcard Zertifikat installiert ist.

Kein Wildcard-Zertifikat, sondern ein Stammzertifikat/Root Certificate der vom Proxy verwendeten Zertifizierungsstelle. Das vom aufgerufenen Server ausgelieferte Zertifikat wird in der Regel neu signiert.

BeamerBen

29.04.2021, 15:02

@franzhartwig

Naja es geht eben darum das im Ziel system ein Cert vorhanden ist welches vom Proxy genutzt werden kann um für beliebige domains Anfragen zu beantworten, wie das umgesetzt ist ist eigentlich zweitranging, aber ja zumindest manche Produkte machen das wohl so.

franzhartwig

29.04.2021, 16:17

@BeamerBen

Naja es geht eben darum das im Ziel system ein Cert vorhanden ist welches vom Proxy genutzt werden kann um für beliebige domains Anfragen zu beantworten,

Das Zertifikat wird nicht genutzt, um Anfragen zu beantworten. Zum Stammzertifikat einer Zertifizierungsstelle gehört ein privater Schlüssel. Der wird genutzt, um Zertifikate zu signieren. Die Signatur wird mittels Stammzertifikat bzw. dem darin enthaltenen öffentlichen Schlüssel überprüft.

wie das umgesetzt ist ist eigentlich zweitranging, aber ja zumindest manche Produkte machen das wohl so.

Wie? Aus meiner Sicht ist ein Wildcard-Zertifikat nicht zielführend. Wenn ich www.google.de aufrufe, muss ich ein Zertifikat vorgelegt bekommen, welches auf www.google.de ausgestellt ist. Wie soll mir da ein Wildcard-Zertifikat helfen.

ToxicWaste

29.04.2021, 14:22

Weil du dann vermutlich ein Root-Zertifikat des Proxybetreibers auf deinem Rechner hast. Der Traffic wird dort aufgebrochen, gescannt und dann wieder verschlüsselt. In der Regel ist der Traffic zu Banken etc davon ausgenommen.

Woher ich das weiß:Berufserfahrung

Bb4cm

Fragesteller

29.04.2021, 14:31

Ist das sowas wie ein TLS-Proxy?

ToxicWaste

29.04.2021, 15:08

@Bb4cm

Ja, ist es.

Hallo, habe einen mit veracrypt verschlüsselten usb stick, würde den gerne auf einer VM entschüsseln, allerdings kann ich den USB nicht unter Geräte hinzufügen und bekomme folgende fehlermeldung.

Failed to create a proxy device for the USB device. (Error: VERR_PDM_NO_USB_PORTS)

...zur Frage

Nginx reverse proxy als tls layer?

hallo kurze frage (ja oder nein) wenn ich eine NGINX reverse Proxy laufen lasse die via Certbot TLS nutzt (also NGINX hat https) und die reverse proxys im hintergrund kein https/self signed (nicht alle) ist die verbindung dann über NGINX dann trotzdem verschlüsselt?

Eigentlich ja oder? weil die daten werden zwar unverschlüsselt empfangen aber dann ja wieder von NGINX verschlüsselt und weitergeleitet.

...zur Frage

Iron Browser (Chrome) warnt bei fast jeder Seite vor einer unsicheren HTTPS-Verbindung?

Hallo liebe Community,

seit einer Woche habe ich einen Problem mit dem Iron Browser (Basierend auf Chrome). Fast jede HTTPS-Verbindung wird als unsicher angezeigt (Außer Google). Es erscheint diese Meldung:

"Dies ist keine sichere Verbindung

Unbefugte Dritte könnten versuchen, Ihre Informationen von www.gutefrage.net zu stehlen, z. B. Passwörter, Nachrichten oder Kreditkartendaten.

NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"

Auf dem gleichen Rechner habe ich Firefox installiert. Auf der Seite Gutefrage.net macht er aber keine faxen und zeigt an, dass die Verbindung sicher ist.

Was ist da los? Wieso ist das so?

Ich werde schon langsam paranoid und habe den Verdacht, meine Internetverbindung wird überwacht xD.

Habe übrigens Windows 7 x64 + alle (notwendige) Updates.

Edit: Habe überprüft, ob ein Proxy eingerichtet wurde, ist aber nicht.

Edit2: An den Erweiterungen kann es ebenfalls nicht liegen.

...zur Frage

Suche deutsche (!) Blacklist für Discord?

Hey Leute!

Ich habe mit ein paar Freunden einen Discord-Server und dementsprechend auch einige Bots zur Moderation. Nun suche ich Blacklists, um zu schauen, ob ich unserer noch etwas beifügen muss, denn ich kenne ja nicht jede deutsche Beleidigung. Ihr könnt gerne Links schicken, wenn es schon vollständige gibt, die könnte ich dann abgleichen oder Wörter in die Kommentare schreiben, aber bitte mit einem "Hey! Ich habe eine Beleidigung für deine Blacklist: Penner" oder ahnlichem am Anfang und nicht einfach nur "Penner" schreiben.

So, dann bedanke ich mich schon einmal im Voraus, wenn ihr wollt könnt ihr auch auf dem Server (https://discordapp.com/invite/puKEUfZ) im Spam-Channel mal ausprobieren, ob ich noch welche vergessen habe.

Viele Grüße an alle

Ben

...zur Frage

Squid in Docker?

Hey zusammen,

habe vor, den Squid Proxy Server in Docker laufen zu lassen. Allerdings scheitert es bisher daran, dass meine Seitenaufrufe immer Time-outen.

Meine Docker Compose:

Squid Config:

In der bad-links.acl habe ich links, die blockiert werden sollen (z.B google.com)

Ich nutze dieses Repository

Nun habe ich aber leider das Problem, dass wenn ich z.B auf meinem Smartphone den Proxy

Ip-Adresse: IpAdresse meines Pc

Port: 3128

angebe meine Connection Time-outed.

Benutze ich Squid mit der gleichen Config außerhalb von Docker funktioniert aber alles einwandfrei. Demnach vermute ich den Fehler in Verbindung mit Docker. Kann mir jemand zufällig weiterhelfen, was ich hier noch ändern muss?

Leider kann ich hierzu keine passende Dokumentation finden.

Ich danke euch jetzt schonmal :)

...zur Frage

Wie genau kann man seine PS4 mit einem Proxy-Server verbinden?

Hab das nie wirklich verstanden. Da muss man ja auch so eine "Adresse" eingeben, was genau muss man da eingeben?

...zur Frage

VPN oder Proxy?

Hallo,
ich will in der letzten zeit GTA RP spielen aber der Server blockt meine ip da ich im Ausland bin. Meine Frage wäre gibt es eine Möglichkeit seine Ip zu ändern ohne kostenpflichtiges vpn oder Proxy zu benutzen. Ich weiss es gibt kostenlose vpns aber die sind meistens so schlecht das das internet sehr langsam ist.Gibt es auch proxys die man ausserhalb des webs nutzen kann?

...zur Frage

Ist es ein Hinweis auf einen Man-in-the-Middle-Angriff, wenn sich eine HTTPS-Verbindung nicht erzwingen läßt?

Wann kann es vorkommen, dass sich beispielsweise zum Google-Server keine
HTTPS-Verbindung herstellen läßt?

...zur Frage

[STRATO] Trotz "SSL erzwingen" ist Website nicht automatisch sicher?

Ich hab mir vor einigen Tagen eine Domain incl. SSL-Zertifikat gekauft. In der Domainverwaltung steht dann, dass man die Verschlüsselung erzwingen kann.

Wenn ich meine Domain (ohne https) eingebe, ist die Verbindung nicht sicher. Erst wenn ich https eingebe, wird die Verbindung gesichert. Sollte das nicht automatisch verschlüsselt werden, wenn ich kein http/https davor schreibe?

Es gibt u.A. die 301- und die 302-Weiterleitung. Aktiviert ist 301, also permanente Weiterleitung. Hast das was damit zutun, oder hab ich irgend etwas vergessen?

Ich habe jetzt diverse Foren durchsucht, aber keines hat mir geholfen.

Danke.

...zur Frage

Python: Wieso bekomme ich mit der requests-Bibliothek nicht die IPs der Proxies?

Hallo!

Ich habe folgenden Code:

import requests, json, random

with open("config/proxies.txt", "r") as generator:
     Proxies = []
     Proxies += [proxy.strip() for proxy in generator.readlines()]

while True:
    Proxy_Payload = {
         "http": 'http://%s' % random.choice(Proxies)
    }
    s = requests.Session()
    s.proxies = Proxy_Payload
    r = s.get("https://api.ipify.org/?format=json", proxies=Proxy_Payload)
    print(r.text)

https://api.ipify.org/?format=json zeigt die IP an, mit der ich die Webseite anfrage.

Aber nun habe ich das Problem, dass ich immer meine eigene IP zurückbekomme und nicht die IP von den Proxies, wie es eigentlich sein sollte.

Die Proxies sind von https://proxyscrape.com/, also kostenlos. Aber ich habe sie mit einem Proxy-Checker geprüft.

Wie kann ich das beheben?

...zur Frage

Warum bricht die Internetverbindung meines Laptops zuhause ab, woanders aber nicht?

Ich habe das Problem, dass mein Laptop im Heimischen Netzwerk die Verbindung verliert sobald Datenmengen übermittelt werden, also z.B. wenn eine Website aufgerufen oder ein Video abgespielt wird. In anderen Netzwerken ( Arbeit, Café, Freunde, etc.) ist die Verbindung stabil. Kurios ist, dass andere Endgeräte ( Laptops, Handys, etc.) keinerlei Verbindungsprobleme in meinem Heimnetz haben. Ich habe bereits einiges an Lösungsvorschlägen (zB https://praxistipps.chip.de/windows-11-probleme-mit-dem-wlan-das-koennen-sie-tun_159684?layout=amp) durchprobiert - ohne Erfolg.

Woran könnte es noch liegen?

Lenovo IdeaPad S540-14API

64 Bit

Windows 11 Home

...zur Frage

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zur Frage

Ist man mit Proxychains, VPN und Tor "komplett" Anonym?

Ist es sicher wenn ich auf einer linux VM meine VPN instaliere und proxychains mit Tor zusamen benutze oder reicht es aus wenn ich VPN mit Tor nutze?

...zur Frage

Internetseiten erkennen, dass ich einen Proxy Server benutze, wie kann ich das umgehen?

Hallo alle zusammen,

ich benutze eine brasilianische IP Adresse auf Chatrandom, jedoch erkennt die Seite sofort, dass ich einen Proxy Server benutze und fordert mich dazu auf, wenn ich diese Ip adresse weiterhin benutzen wollen würde, dass ich doch das Abonnement zahlen soll, was ich aufjedenfall nicht möchte, könnte mir irgendwer helfen, dabei das zu umgehen? :) möchte die Proxy Ip trotzdem benutzen

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen