err_ssl_version_or_cipher_mismatch – HTTPS-Proxy DPI T10 T30 T50 XTM 25/26/33 11.12.1

2 Comments

Mit dem heutigen Release von Fireware 11.12.1 ist es möglich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden können.

Voraussetzungen:
  • aktivierter HTTPSs-Proxy mit Deep Inspection
  • die Website erzwingt PFS (Perfect Forward Security)
  • die Firebox ist eine der kleineren Modelle (z.B. XTM 25/26, XTM 33, T10, T30 oder T50)
  • die Config wurde mindestens einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben.
Symptom:
  • err_ssl_version_or_cipher_mismatch (Fehlermeldung im Chrome)
Bestätigen, ob es genau dieses Problem ist:
  • Server auf https://www.ssllabs.com/ testen
  • Wenn der Server ausschließlich Ciphers anbietet, die mit TLS_DHE:* oder TLS_ECDHE_* beginnen, dann stellt der Server keine anderen Verschlüsselungsmechanismen mehr zur Verfügung.
Workaround 1:

Die Site kann in den Ausnahmen der Deep Inspection unter Domain Names eingetragen werden.

Workaround 2 (nur für Profis):
  • auf der Watchguard per SSH einloggen
  • mittels CLI die config per tftp exportieren
  • die exportierte XML editieren:
    • den HTTPS-Proxy suchen (<proxy name>…</proxy-name>)
    • in den XML-Containern proxy-action => https => sslfilter => client bzw. … => server
      das SSL_ECDHE_NO in SSL_ECDHE_OPTIONAL ändern
  • die geänderte XML per tftp auf die Box importieren
  • dies muß nach jeder Änderung mit dem Policy Manger wiederholt werden, da dieser die Option wieder auf ECDHE_NO zurücksetzt.
Quellen:

 

WatchGuard hat angekündigt, dies in Fireware v11.12.2 auch für die kleinen Boxen konfigurierbar zu machen. Das Release von 11.12.2 ist für Ende März geplant.

2 Kommentare zu “err_ssl_version_or_cipher_mismatch – HTTPS-Proxy DPI T10 T30 T50 XTM 25/26/33 11.12.1”

Leave a Reply

Your email address will not be published. Required fields are marked *