Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfblockerng und IE11 CA_DNSLB

    Deutsch
    2
    3
    339
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      p54
      last edited by

      Hallo,

      ich komm gerade nicht weiter mit dem pfblockerng und dem CA Sicherheitshinweis im IE11.
      Ja IE11 ist assbach, aber wird bei mir dennoch genutzt. ;)

      Jedenfalls habe ich die Standardlisten der Liste aktiv und immer wenn ich z.B. https://www.microsoft.com/de-de oder https://www.dell.com aufrufe erhalte ich eine Meldung über die CA vom blockerng das die "Identiät dieser Website oder die Integrität dieser Verbindung kann nicht überprüft werden".

      Antragsteller ist die CN_DNSBL nur leider habe ich keine Ahnung wie ich den IE dazu bringen kann diesem CA zu vertrauen, bzw. wie ich dies CA importieren kann. Auch die paar Einträge bei Tante google zu diesem Thema von BBcan177 habe ich nicht wirklich verstanden bzgl. der Änderung ob ich es so umstellen kann / soll:

      https://forum.netgate.com/topic/111150/certificate-error-dnsbl-certificate/5

      Hat jemand noch etwas Erfahrung mit diesem Verhalten?

      Vielen Dank im voraus.

      nonickN 1 Reply Last reply Reply Quote 0
      • nonickN
        nonick @p54
        last edited by

        @p54
        Meiner Meinung nach kannst du das nicht verhindern. Das Zertifikat vom pfBlockerNG wurde für die Domain CN = CN_DNSBL ausgestellt. Rufst du wie in deinem Beispiel https://www.dell.com auf, dann stimmt der CN im Zertifikat (CN = CN_DNSBL) nicht mit dem Domain Namen (CN = www.dell.com) überein und es kommt zur Sicherheitswarnung im Browser. Damit es so funktioniert wie du es gern möchtest, müsste für jede geblockte Seite „on the fly“ ein Zertifikat für die angesurfte Adresse mit dem richtigen CN ausgestellt werden.

        Netgate 6100

        1 Reply Last reply Reply Quote 0
        • P
          p54
          last edited by

          Hi,

          ja den match habe ich nach etwas Überlegung dann auch verstanden. Schade, dass man nicht im blockerng eine CA ausstellen kann, via Lets Encrypt oder self cert die man im lokalen Netz zumindest verteilen und importieren kann.

          Ich habe dann auch für die Seiten die geblockte Site ausfindig machen können, hier wird via XMLHTTP request die mscom.demdex.net Verindung aufgebaut die vom blockerng in der Yoyo List glaub ich auch zu finden war. Nachdem Whitelist kommt diese Meldung nun nicht mehr.

          Danke für die Rückmeldung :)

          VG

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.