Webseiten sperren Blacklist

[Snoopy325]

Hallo zusammen, ich habe da mal 2 Fragen:

1. Ich habe über den Proxy Kategorien gesperrt. Dies funktioniert auch. Bei http bekommt der User auch eine Meldung, dass diese Seite verboten ist. Leider bekommt er bei https nur die Meldung, dass die Seite nicht aufgerufen werden kann.
Transparenten HTTP-Proxy aktivieren (ja)
Aktiviere SSL-Untersuchung (ja)
Protokolliere nur die SNI-Information (ja)
Gibt es irgendeine Möglichkeit, dass der User sowohl bei http und bei https die Sperrseite angezeigt bekommt?

2. Die Blacklist kann ja vom System aktualisiert heruntergeladen werden. Ist dies auch mit einer Whitelist möglich?

Gruß Heiko

[fabian]

nur wenn du die Option "Protokolliere nur die SNI-Information" ausschaltest geht das  dann must du aber auch ein eigenes Zertifikat verwenden.

[Snoopy325]

Das funktioniert doch aber nicht mit einem normalen Zertifikat, oder?
Beispiel?
Gibt es nicht auch eine Lösung ohne die Verschlüsselung aufzubrechen?

[fabian]

Das funktioniert doch aber nicht mit einem normalen Zertifikat, oder?

Ein CA-Zertifikat wird benötigt, das ist aber auch ein "normales" Zertifikat bei dem ein spezielles Flag (ca=true) gesetzt ist

Beispiel?

https://docs.opnsense.org/manual/how-tos/proxytransparent.html

Gibt es nicht auch eine Lösung ohne die Verschlüsselung aufzubrechen?

Nein, weil der Client glaubt, dass er mit dem Zielserver spricht und sich daher erwartet, dass dieser antwortet. Ensprechend muss das Zertifikat

a) für den richtigen Server ausgestellt werden
b) vom Client als Vertrauenswürdig eingestuft werden
c) das Zertifikat (für die Domain) gültig sein

Wenn eines davon nicht zutrifft, gibt's mindestens eine Zertifikatswarnung, sofern der Client die Validierung nicht deaktiviert.Sollte er das tun, ist HTTPS so sicher wie HTTP.

[Snoopy325]

Danke sehr, jetzt funktioniert es sogar mit transparetem Proxi und selbstsigniertem Zertifikat.