Zugriff auf Webseiten mit Fehler im Zertifikat sperren

Autor: Mark Heitbrink - vom 27.01.2020 - Kategorie(n): Anleitungen

Ich halte es für die wichtigste aller Richtlinien, wenn man Browser härtet. Der Zugriff auf Webseiten, deren Zertifikat Fehler meldet muss unterbunden werden.

"www.meinebank.de" darf nicht erreicht werden, wenn sie als "www.meinebank.de.phising.domain.dreck" URL angesprochen wird.

Jeder der Browser formuliert die Richtlinien unterschiedlich, ebenfalls wechselt der Schalter von Aktiviert zu Deaktiviert.

Chrome:

  • Fortfahren von SSL-Hinweisseite erlauben = Deaktiviert
    Computerkonfiguration/Administrative Vorlagen/Google/Google Chrome


Microsoft Edge Chromium:

  • Zulassen, dass Benutzer von der HTTPS-Warnungsseite aus fortfahren können = Deaktiviert
    Computerkonfiguration/Administrative Vorlagen/Microsoft Edge


Firefox:

  • Ausnahme hinzufügen verhindern bei unsicheren Zertifikaten = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Mozilla/Firefox


Microsoft Edge:

  • Außerkraftsetzungen von Zertifikatfehlern verhindern = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Microsoft Edge


Last, but not Least und weil ich ihn einfach bei den Kunden nicht loswerde ...
Internet Explorer:

  • Ignorieren von Zertifikatfehlern verhindern = Aktiviert
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung


Diese Richtlinie ist die häufigste Ursache, warum der IE durch den Firefox ersetzt wurde. Die IE Hardening Guidelines verbieten das seit IE 9 (!) ... Bei FF hat dann jeder gerne den Schalter "klick-weiter" trotzdem verbinden und Ausnahme für immer akzeptieren verwendet.

Ich akzeptiere, das es 2 oder 3 oder 10 Computer gibt, die von dieser Regel ausgeschlossen werden. Das sind Administrative Workstations ohne Interntet Zugang.
Leider sind diverse aktive Komponenten des eigenen Netzwerks ohne ordentliche Zertifikate bestückt. Aber auf die muss ein normaler Client nie zugreifen. Für alle anderen kann das Problem mit einer eigenen PKI erledigt werden, oder durch das Verteilen der Root / Selfsigned Zertifikate als Vertrauenswürdige Stammzertifizierungsstellen.

Das Verteilen ist einfach, das Thema PKI eher nicht.
Zertifikate verteilen
Selfsigned Certificate - Selbsterstellte PKI - Powershell v5