Chrome kollidiert mit Sophos-Firewall

Noch ein kleiner Fundsplitter aus der Welt der Fremd-Internet-Sicherheitslösungen. Nutzer, die mit Google Chrome surfen, aber auf die Sophos-Firewall setzen, erhalten wohl Zertifikatswarnungen beim Zugriff auf https-Seiten.


Anzeige

Ich wurde über einen Tweet von Hans-Peter Holzer auf dieses Thema aufmerksam. Er weist darauf hin, dass im Chromium 58-Browser Zertifikate nicht mehr akzeptiert werden, wenn Sophos installiert ist.

Besucht der Benutzer eine Webseite, wird ihm bei https-Inhalten die folgende Zertifikatswarnung ausgegeben.

SSL-Warnung


Anzeige

Der Bug ist hier beschrieben (seit März 2017). Die Antwort des Sophos-Supports ist da recht einfach gestrickt: Man möge einen anderen Browser verwenden oder das HTTPS-Scanning in der Sophos-Firewall deaktivieren.

Bei Sophos gibt es dazu einen Beitrag, der das Problem erläutert. Die Geschichte zeigt wieder einmal, dass Dritthersteller eigentlich nichts in der HTTPS-Übertragung verloren haben, weil es immer wieder zu Kollateralschäden, Fehlern und Sicherheitslücken kommt. Ich erinnere nur an den heise-Artikel US-CERT warnt vor HTTPS-Inspektion von Mitte März 2017. Ergänzung: Die Redaktion von Golem, die im obigen Tweet mit adressiert wurde, hat diesen Artikel zum Thema veröffentlicht. Dort erfahrt ihr noch ein paar zusätzliche Informationen.


Anzeige

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Chrome kollidiert mit Sophos-Firewall

  1. Ich finde das sowieso übertrieben mit dem HTTPS Standard, zumal da eh von gewissen stellen zig tausende Zertifikate vergeben worden sind ohne sie je richtig zu überprüfen, damit ist die Sicherheit eh unterlaufen worden.
    Das verunsichert die User eh nur wenn der Browser eine Sicherheitswarnmeldung ausgibt, das man nicht jeden link in einem Forum oder Blog gleich anklickt ohne die Brain.exe einzuschalten nur weil da "Heidi Klump ganz Nackig" steht sollte doch jedem mittlerweile klar sein.
    Und nur weil bei http:// das kleine 's' fehlt muss eine Seite ja auch nicht als Potenziell gefährlich eingestuft werden.

    • JohnRipper sagt:

      Der Punkt ist eben ob man der Gegenstelle und der CA vertraut oder nicht.
      Beides muss gegeben sein, sonst ist die Verbindung eben nicht sicher.

      Dass das System nicht perfekt ist ist irgendwie langsam klar, aber eine Alternative hat ja keiner so richtig.

      Für meinen persönlichen Nextcloud (früher owncloud)-Server ist ein LetEncrypt Zertifikat schon eine feine Sache, musste doch vorher jeder mein privates Zertifikat akzeptieren bzw. ich musste es installieren. Auf den Domain-Computern kein Problem, aber an öffentlichen/fremden Computern musste man schon wieder prüfen. So wie bei mobilien Geräten.

      Das Problem liegt aber nicht im System AN sich, sondern eher an so Scherzen wie bei Sophos. Ich kann nachvollziehen, dass man https Traffic irgendwie kontrollieren will, weil ja offensichtlich auch schadhafter Content via https kommt, aber ein MITM ist halt Schrott.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.