Keine Fehlermeldung von HTTPS Proxy (deny message)

Sie haben den HTTPS-Proxy sowie den WebBlocker für Ihr Unternehmen aktiviert und Ihre Benutzer erhalten beim Aufruf der gesperrten HTTPS Seiten keine explizite Benachrichtigung, dass die Seite durch Sie gesperrt bzw. weshalb der Zugriff blockiert wurde:

Im Gegensatz dazu erhalten Sie bei gesperrten HTTP Seiten eine Benachrichtigung, die wie folgt aussehen kann:

Im Folgenden erklären wir Ihnen warum Benutzer bei gesperrten HTTPS Webseiten keine Blockbenachrichtigung angezeigt bekommen.

  • Bei HTTP wird eine Verbindung zwischen Client (Webbrowser) und Server aufgebaut. Der HTTP-Proxy schaltet sich hier “in die Verbindung” und kann den Datenstrom lesen und manipulieren. => Der Proxy kann eine eigene Fehlermeldung ausgeben.
  • Bei HTTPS hingegen wird eine verschlüsselte Verbindung zwischen Client und Server aufgebaut. Der HTTPS-Proxy ohne Content-Inspection schaltet nach dem Zertifikatsaustausch auf “transparent” und reicht die Daten durch. Da er nicht im Datenstrom arbeiten kann, kann er auch keine Fehlermeldung an den Client senden.

Wenn der Proxy also aufgrund des WebBlockers die Verbindung verbieten will, kann er nur die Verbindung zurücksetzen und das ergibt die im ersten Screenshot dargestellte Fehlermeldung .

Erst durch Content-Inspection wird der verschlüsselte Kanal zwischen Client und Server aufgebrochen, und der Proxy kann die Daten lesen (im inneren eines SSL/TLS-Datenstromes wird HTTP gesprochen) und manipulieren und dadurch auch eine Fehlermeldung an den Client senden.

Im >> WatchGuard Help Center wird dies folgendermaßen beschrieben:

„If you enable WebBlocker in an HTTPS proxy action, but do not enable content inspection, the proxy action uses the website certificate to identify the website category and decide whether to allow or deny access. Without content inspection, the HTTPS proxy action cannot selectively deny website content, and users do not see a deny message when content is denied by WebBlocker.“

Daher ist es hilfreich zusätzlich zu dem HTTPS-Proxy und dem WebBlocker auch die Content Inspection zu aktivieren. Wie man die Content Inspection aktiviert und entsprechend konfiguriert erfahren Sie in dem Blog-Artikel >> HOWTO: HTTPS-DPI mit dem WebBlocker inkl. WatchGuard Deny Messages.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>