{"id":8754,"date":"2019-09-13T14:57:47","date_gmt":"2019-09-13T12:57:47","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=8754"},"modified":"2019-09-17T13:12:01","modified_gmt":"2019-09-17T11:12:01","slug":"fireware-12-5-probleme-mit-https-proxy-nach-upgrade","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2019\/09\/fireware-12-5-probleme-mit-https-proxy-nach-upgrade\/","title":{"rendered":"Fireware 12.5 &#8211; Probleme mit HTTPS-Proxy nach Upgrade"},"content":{"rendered":"<p><span style=\"font-size: inherit;\">Nach dem Upgrade auf 12.5 ist es unter bestimmten Umst\u00e4nden m\u00f6glich, dass der HTTPS-Proxy nicht mehr sauber funktioniert. Voraussetzungen und Workaround:<br \/>\n<\/span><\/p>\n<p><!--more--><\/p>\n<p><span style=\"font-size: inherit;\">Diese Woche bei zwei Kunden aufgetreten:\u00a0<\/span><\/p>\n<ul>\n<li>Upgrade von einer relativ alten Version (hier 12.0.1 bzw. 12.1) auf aktuelles Release (hier 12.5 oder 12.5.1)<\/li>\n<li>HTTPS-Traffic nach au\u00dfen hat nicht mehr funktoiniert.<\/li>\n<li>Fehlermeldung im Traffic Monitor &#8220;B-Channel connect failed&#8221; (oder so \u00e4hnlich, ich habe leider keinen Screenshot).<\/li>\n<\/ul>\n<p>Abhilfe:<\/p>\n<ul>\n<li>HTTPS-Proxy-Policy editieren<\/li>\n<li>HTTPS-Proxy-Action editieren<\/li>\n<li>TLS-Profil editieren<\/li>\n<li>dort etwas \u00e4ndern (z.B. ein Toggle des <strong>[ ] allow only TLS Compliant traffic<\/strong>)<\/li>\n<li>speichern und testen<\/li>\n<\/ul>\n<p>nun sollte wieder alles funktionieren.<\/p>\n<ul>\n<li>nun die \u00c4nderung wieder r\u00fcckg\u00e4ngig machen<\/li>\n<li>speichern und testen<\/li>\n<\/ul>\n<p>auch jetzt sollte wieder alles funktionieren.<\/p>\n<p>ich pers\u00f6nlich vermute als Ursache eine \u00c4nderung im TLS-Profil &#8211; in den alten 12.0\/12.1 Releases war beispielsweise noch SSLv3 als Minumum Version erlaubt, inzwischen ist dort TLS1.0 die minimale Version.<\/p>\n<p>Wenn dies so w\u00e4re, k\u00f6nnte bei Upgrades der jeweiligen Zwischenreleases (12.0 =&gt; 12.1 =&gt; 12.2 =&gt; 12.3 =&gt; 12.4 =&gt; 12.5) dieser Fall entsprechend abgefangen worden sein; bei dem gro\u00dfen Sprung von 12.0 nach 12.5.x (immerhin knapp 2 Jahre!) k\u00f6nnte sich hier ein rare Case eingeschlichen haben. Dies w\u00fcrde erkl\u00e4ren, warum dieser Fall in meinem Home-Office nicht aufgetreten ist, da ich hier nahezu alle Zwischenreleases aufgrund der Teilnahme an den Beta-Tests installiere und damit nur die inkrementellen \u00c4nderungen zur jeweiligen Vor-Version ins Gewicht fallen.<\/p>\n<p>Immerhin ist die ganze SSL\/TLS-Thematik w\u00e4hrend der letzten zwei Jahre durchg\u00e4ngig im Flow &#8211; hier kommen mit jedem Subrelease \u00c4nderungen in die Fireware. Das m\u00fcssen sie auch, denn gerade TLS ver\u00e4ndert sich ebenfalls st\u00e4ndig. Stichworte: Entfall von SSLv2, SSLv3. Hinzuf\u00fcgen von TLS 1.3, ECDHE-Ciphers, um nur einige zu nennen. (Gerade diskutieren Mozilla und Google, ob und wann in Firefox und Chrome der TLS-1.0 Support gestrichen wird&#8230;).<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nach dem Upgrade auf 12.5 ist es unter bestimmten Umst\u00e4nden m\u00f6glich, dass der HTTPS-Proxy nicht mehr sauber funktioniert. Voraussetzungen und Workaround:<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[562,564,581,301,555,28,148,46],"class_list":["post-8754","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-12-5","tag-fireware-12-5","tag-fireware-12-5-1","tag-https","tag-https-proxy","tag-ssl","tag-tls","tag-upgrade"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8754"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=8754"}],"version-history":[{"count":2,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8754\/revisions"}],"predecessor-version":[{"id":8787,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8754\/revisions\/8787"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=8754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=8754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=8754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}