{"id":2745,"date":"2017-02-23T21:36:17","date_gmt":"2017-02-23T20:36:17","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=2745"},"modified":"2017-02-23T21:36:17","modified_gmt":"2017-02-23T20:36:17","slug":"err_ssl_version_or_cipher_mismatch-https-proxy-dpi-t10-t30-t50-xtm-252633-11-12-1","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2017\/02\/err_ssl_version_or_cipher_mismatch-https-proxy-dpi-t10-t30-t50-xtm-252633-11-12-1\/","title":{"rendered":"err_ssl_version_or_cipher_mismatch &#8211; HTTPS-Proxy DPI T10 T30 T50 XTM 25\/26\/33 11.12.1"},"content":{"rendered":"<p>Mit dem heutigen Release von Fireware 11.12.1 ist es m\u00f6glich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden k\u00f6nnen.<\/p>\n<h5>Voraussetzungen:<\/h5>\n<ul>\n<li>aktivierter HTTPSs-Proxy mit Deep Inspection<\/li>\n<li>die Website <strong>erzwingt <\/strong>PFS (Perfect Forward Security)<\/li>\n<li>die Firebox ist eine der kleineren Modelle (z.B. XTM 25\/26, XTM 33, T10, T30 oder T50)<\/li>\n<li>die Config wurde mindestens\u00a0einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben.<\/li>\n<\/ul>\n<h5>Symptom:<\/h5>\n<ul>\n<li>err_ssl_version_or_cipher_mismatch (Fehlermeldung im Chrome)<\/li>\n<\/ul>\n<h5>Best\u00e4tigen, ob es genau dieses Problem ist:<\/h5>\n<ul>\n<li>Server auf <a href=\"https:\/\/www.ssllabs.com\/\">https:\/\/www.ssllabs.com\/<\/a> testen<\/li>\n<li>Wenn der Server ausschlie\u00dflich Ciphers anbietet, die mit TLS_DHE:* oder TLS_ECDHE_* beginnen, dann stellt der Server keine anderen Verschl\u00fcsselungsmechanismen mehr zur Verf\u00fcgung.<\/li>\n<\/ul>\n<h5>Workaround 1:<\/h5>\n<p>Die Site kann in den Ausnahmen der Deep Inspection unter <strong>Domain Names<\/strong> eingetragen werden.<\/p>\n<h5>Workaround 2 (nur f\u00fcr Profis):<\/h5>\n<ul>\n<li>auf der Watchguard per SSH einloggen<\/li>\n<li>mittels CLI die config per tftp exportieren<\/li>\n<li>die exportierte XML editieren:\n<ul>\n<li>den HTTPS-Proxy suchen (&lt;proxy name&gt;&#8230;&lt;\/proxy-name&gt;)<\/li>\n<li>in den XML-Containern proxy-action =&gt; https =&gt; sslfilter =&gt; client bzw. &#8230; =&gt; server<br \/>\ndas <strong>SSL_ECDHE_NO<\/strong>\u00a0in <strong>SSL_ECDHE_OPTIONAL <\/strong>\u00e4ndern<\/li>\n<\/ul>\n<\/li>\n<li>die ge\u00e4nderte XML per\u00a0tftp auf die Box importieren<\/li>\n<li>dies mu\u00df nach jeder \u00c4nderung mit dem Policy Manger wiederholt werden, da dieser die Option wieder auf ECDHE_NO zur\u00fccksetzt.<\/li>\n<\/ul>\n<h5>Quellen:<\/h5>\n<ul>\n<li><a href=\"http:\/\/watchguardsupport.force.com\/publicKB?type=KBArticle&amp;SFDCID=kA22A000000HQ3dSAG&amp;lang=en_US\">WatchGuard Knowledgebase Artikel 9827<\/a><\/li>\n<li><a href=\"https:\/\/www.watchguard.com\/support\/release-notes\/fireware\/11\/en-US\/EN_ReleaseNotes_Fireware_11_12_1\/index.html\">Release-Notes Fireware v11.12.1<\/a><\/li>\n<li>Diskussion aus dem <a href=\"https:\/\/watchguard.centercode.com\/\">Beta-Test-Forum<\/a>\u00a0(ben\u00f6tigt Beta Test Account) =&gt; dort Release 11.12.2, Bug #00007<\/li>\n<li><a href=\"https:\/\/www.watchguard.com\/help\/docs\/fireware\/11\/en-US\/CLI\/index.html\">WatchGuard CLI\u00a0Reference<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>WatchGuard hat angek\u00fcndigt, dies in Fireware v11.12.2\u00a0auch f\u00fcr die kleinen Boxen konfigurierbar zu machen. Das Release von 11.12.2 ist f\u00fcr Ende M\u00e4rz geplant.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem heutigen Release von Fireware 11.12.1 ist es m\u00f6glich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden k\u00f6nnen. Voraussetzungen: aktivierter HTTPSs-Proxy mit Deep Inspection die Website erzwingt PFS (Perfect Forward Security) die Firebox ist eine der kleineren Modelle (z.B. XTM 25\/26, XTM 33, T10, T30 oder T50) die Config wurde mindestens\u00a0einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben. &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2017\/02\/err_ssl_version_or_cipher_mismatch-https-proxy-dpi-t10-t30-t50-xtm-252633-11-12-1\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">err_ssl_version_or_cipher_mismatch &#8211; HTTPS-Proxy DPI T10 T30 T50 XTM 25\/26\/33 11.12.1<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2745","post","type-post","status-publish","format-standard","hentry","category-watchguard-allgemeine-informationen"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2745"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2745"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2745\/revisions"}],"predecessor-version":[{"id":2751,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2745\/revisions\/2751"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}