pfblockerng und IE11 CA_DNSLB



  • Hallo,

    ich komm gerade nicht weiter mit dem pfblockerng und dem CA Sicherheitshinweis im IE11.
    Ja IE11 ist assbach, aber wird bei mir dennoch genutzt. ;)

    Jedenfalls habe ich die Standardlisten der Liste aktiv und immer wenn ich z.B. https://www.microsoft.com/de-de oder https://www.dell.com aufrufe erhalte ich eine Meldung über die CA vom blockerng das die "Identiät dieser Website oder die Integrität dieser Verbindung kann nicht überprüft werden".

    Antragsteller ist die CN_DNSBL nur leider habe ich keine Ahnung wie ich den IE dazu bringen kann diesem CA zu vertrauen, bzw. wie ich dies CA importieren kann. Auch die paar Einträge bei Tante google zu diesem Thema von BBcan177 habe ich nicht wirklich verstanden bzgl. der Änderung ob ich es so umstellen kann / soll:

    https://forum.netgate.com/topic/111150/certificate-error-dnsbl-certificate/5

    Hat jemand noch etwas Erfahrung mit diesem Verhalten?

    Vielen Dank im voraus.



  • @p54
    Meiner Meinung nach kannst du das nicht verhindern. Das Zertifikat vom pfBlockerNG wurde für die Domain CN = CN_DNSBL ausgestellt. Rufst du wie in deinem Beispiel https://www.dell.com auf, dann stimmt der CN im Zertifikat (CN = CN_DNSBL) nicht mit dem Domain Namen (CN = www.dell.com) überein und es kommt zur Sicherheitswarnung im Browser. Damit es so funktioniert wie du es gern möchtest, müsste für jede geblockte Seite „on the fly“ ein Zertifikat für die angesurfte Adresse mit dem richtigen CN ausgestellt werden.



  • Hi,

    ja den match habe ich nach etwas Überlegung dann auch verstanden. Schade, dass man nicht im blockerng eine CA ausstellen kann, via Lets Encrypt oder self cert die man im lokalen Netz zumindest verteilen und importieren kann.

    Ich habe dann auch für die Seiten die geblockte Site ausfindig machen können, hier wird via XMLHTTP request die mscom.demdex.net Verindung aufgebaut die vom blockerng in der Yoyo List glaub ich auch zu finden war. Nachdem Whitelist kommt diese Meldung nun nicht mehr.

    Danke für die Rückmeldung :)

    VG


Log in to reply