err_ssl_version_or_cipher_mismatch – HTTPS-Proxy DPI T10 T30 T50 XTM 25/26/33 11.12.1
Mit dem heutigen Release von Fireware 11.12.1 ist es möglich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden können.
Voraussetzungen:
- aktivierter HTTPSs-Proxy mit Deep Inspection
- die Website erzwingt PFS (Perfect Forward Security)
- die Firebox ist eine der kleineren Modelle (z.B. XTM 25/26, XTM 33, T10, T30 oder T50)
- die Config wurde mindestens einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben.
Symptom:
- err_ssl_version_or_cipher_mismatch (Fehlermeldung im Chrome)
Bestätigen, ob es genau dieses Problem ist:
- Server auf https://www.ssllabs.com/ testen
- Wenn der Server ausschließlich Ciphers anbietet, die mit TLS_DHE:* oder TLS_ECDHE_* beginnen, dann stellt der Server keine anderen Verschlüsselungsmechanismen mehr zur Verfügung.
Workaround 1:
Die Site kann in den Ausnahmen der Deep Inspection unter Domain Names eingetragen werden.
Workaround 2 (nur für Profis):
- auf der Watchguard per SSH einloggen
- mittels CLI die config per tftp exportieren
- die exportierte XML editieren:
- den HTTPS-Proxy suchen (<proxy name>…</proxy-name>)
- in den XML-Containern proxy-action => https => sslfilter => client bzw. … => server
das SSL_ECDHE_NO in SSL_ECDHE_OPTIONAL ändern
- die geänderte XML per tftp auf die Box importieren
- dies muß nach jeder Änderung mit dem Policy Manger wiederholt werden, da dieser die Option wieder auf ECDHE_NO zurücksetzt.
Quellen:
- WatchGuard Knowledgebase Artikel 9827
- Release-Notes Fireware v11.12.1
- Diskussion aus dem Beta-Test-Forum (benötigt Beta Test Account) => dort Release 11.12.2, Bug #00007
- WatchGuard CLI Reference
WatchGuard hat angekündigt, dies in Fireware v11.12.2 auch für die kleinen Boxen konfigurierbar zu machen. Das Release von 11.12.2 ist für Ende März geplant.
Neues Software Release Fireware 11.12.1 und WSM 11.12.1 - BOC WatchGuard Info-Portal
SMTP- und HTTPS-Proxy mit Perfect Forward Security - BOC WatchGuard Info-Portal