Zurück

Zugriff auf Webseiten mit Fehler im Zertifikat sperren

27.01.2020 | Autor: Mark Heitbrink

Ich halte es für die wichtigste aller Richtlinien, wenn man Browser härtet. Der Zugriff auf Webseiten, deren Zertifikat Fehler meldet muss unterbunden werden.

"www.meinebank.de" darf nicht erreicht werden, wenn sie als "www.meinebank.de.phising.domain.dreck" URL angesprochen wird.

Jeder der Browser formuliert die Richtlinien unterschiedlich, ebenfalls wechselt der Schalter von Aktiviert zu Deaktiviert.

Chrome:

  • Fortfahren von SSL-Hinweisseite erlauben = Deaktiviert
    Computerkonfiguration/Administrative Vorlagen/Google/Google Chrome

Microsoft Edge Chromium:

  • Zulassen, dass Benutzer von der HTTPS-Warnungsseite aus fortfahren können = Deaktiviert
    Computerkonfiguration/Administrative Vorlagen/Microsoft Edge

Firefox:

  • Ausnahme hinzufügen verhindern bei unsicheren Zertifikaten = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Mozilla/Firefox

Microsoft Edge:

  • Außerkraftsetzungen von Zertifikatfehlern verhindern = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Microsoft Edge

Last, but not Least und weil ich ihn einfach bei den Kunden nicht loswerde ...
Internet Explorer:

  • Ignorieren von Zertifikatfehlern verhindern = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung

Diese Richtlinie ist die häufigste Ursache, warum der IE durch den Firefox ersetzt wurde. Die IE Hardening Guidelines verbieten das seit IE 9 (!) ... Bei FF hat dann jeder gerne den Schalter "klick-weiter" trotzdem verbinden und Ausnahme für immer akzeptieren verwendet.

Ich akzeptiere, das es 2 oder 3 oder 10 Computer gibt, die von dieser Regel ausgeschlossen werden. Das sind Administrative Workstations ohne Interntet Zugang.

Leider sind diverse aktive Komponenten des eigenen Netzwerks ohne ordentliche Zertifikate bestückt. Aber auf die muss ein normaler Client nie zugreifen. Für alle anderen kann das Problem mit einer eigenen PKI erledigt werden, oder durch das Verteilen der Root / Selfsigned Zertifikate als Vertrauenswürdige Stammzertifizierungsstellen.

Das Verteilen ist einfach, das Thema PKI eher nicht.

Ähnliche Artikel

22.10.2020 Browser Extensions und Add-ons verwalten - Chrome, Edge Chromium und Firefox
08.12.2019 Selfsigned Certificate - Selbsterstellte PKI - Powershell v5
02.12.2013 Selfsigned Certificate - Selbsterstelltes Zertifikat - MakeCert.exe
22.03.2013 Zertifikate verteilen
21.03.2013 Selfsigned Certificate - Selbsterstelltes Zertifikat - SelfSSL.exe