LANCOM Security Essentials versus ERR_SSL_PROTOCOL_ERROR

[AnWe]

Hi,

ich bin neu im Thema LANCOM Security Essentials.

Habe den Filter auf einem 1900EF aktiviert.

Alles funktioniert einwandfrei bis auf die Blockmeldungen. Hier kommt nicht die schicke bunte Meldung mit Kategorie und so sondern ein Fehler vom Browser "HTTPS://www.heise.de hat eine ungültige Antwort gesendet. ERR_SSL_PROTOCOL_ERROR"
(heise testweise geblockt )

Edge SSL.jpg

)

Anderer Browser (Firefox) bringt denselben Fehler.

Nur wenn ich eine Seite unverschlüsselt (HTTP) ansurfe kommt die korrekte Meldung.

Habe testweise einen Win11 24H2 Client out of the box aufgesetzt, keinerlei customizing, selbes Ergebnis.

Ansich funktioniert der Filter super, aber ich hätte schon auch gerne die bunten Blockmeldungen...
Hat zufällig jemand diesen Fehler auch schon gesehen und kann mir bitte einen Tip geben, wie man das Problem in den Griff bekommt?

Danke + Grüße

[Jirka]

Hi,

das Problem ist systembedingt. Durch die Ende-zu-Ende-Verschlüsselung steht der Content-Filter, bzw. die Security-Essentials-Option, also letztlich der LANCOM-Router, dazwischen und der Browser merkt das und liefert die entsprechende Fehlermeldung, weil die Zertifikate nicht stimmen. Den Workaround hast Du ja schon geliefert. Im Prinzip funktioniert das System mit dem Override-Button bei verschlüsselten Webseiten so nicht mehr. Es müsste ein System aufgesetzt werden (seitens LANCOM), wo die Clients Zertifikate bekommen mit denen die Zwischenverbindung zum LANCOM ohne Fehler abläuft.
Ich schalte nur wenige Kategorien auf Override und halte dafür unverschlüsselte URLs vor, die ich dann im Browser aufrufe, um die Kategorie freizuschalten.

[backslash]

Hi Jirka,

fast....

Das Problem ist, daß der Contentfilter die Verbindung nicht entschlüsseln kann, um die Block-Seite einzufügen. Das einige, was er machen kann, ist die Verbindung zu trennen und ein "kaputtes" TLS-Alert an den Browser zu schicken... Der merkt das und zeigt dem User seine interne Fehlermeldung...

BTW: alle Systeme, die eine TLS-Interception anbieten, haben durch die Reihe Sicherheitslücken.

Gruß
Backslash

[AnWe]

Danke Jirka und Backslash für eure Antworten.

Works also as designed.... na toll.

Habt ihr die "Alternative Block URL" zum laufen gebracht?
Bei mir funktioniert das leider auch nicht.

[plumpsack]

"... ein Fehler vom Browser "HTTPS://www.heise.de hat eine ungültige Antwort gesendet. ERR_SSL_PROTOCOL_ERROR"
(heise testweise geblockt ) ..."

Also "https://www.heise.de" funktioniert auch ohne "Voodoo" (LANCOM Security Essentials).

Der DNS-Filter im Lancom LCOS macht das was er machen soll.

Guck dir mal im Browser an, was du (dein Browser) da alles aufruft ...

Die URL's einfach in den DNS-Filter eintragen und Ruhe ist.

[plumpsack]

Nur wenn ich eine Seite unverschlüsselt (HTTP) ansurfe kommt die korrekte Meldung.

Ehm ...

du hast noch Port 80 ausgehend öffen?

[AnWe]

Nur wenn ich eine Seite unverschlüsselt (HTTP) ansurfe kommt die korrekte Meldung.

Ehm ...

du hast noch Port 80 ausgehend öffen?

jup. warum nicht ?