Hat jmd. von euch so ein Setup am laufen? D.h. einen transparenten Proxy für HTTPS, der anhand der SNI filtert? Gibt es da datenschutzrechtlich mehr zu beachten als beim allgemeinen Filtern von HTTP`(ohne “s”)? Soweit ich das verstanden habe, wir beim Filtern über die SNI die HTTPS-Verbindung nicht entschlüsselt.
Einziger Schönheitsfehler ist, dass man nicht auf einen allgemein Fehlerseite umleiten kann (wie bei HTTP), sondern nur stattdessen eine Zertifikatsfehlermeldung bekommt (was ja logisch ist).
Edit: Ich habe mein derzeitiges Setup hier verschriftlicht:
Hi,
interessant.
Hat es Vorteile gegenüber einem Erzwingen eines eigenen DNS, mit dem manche hier (soweit ich verstanden habe), die verwendung von Facebook und co unterbinden?
Beim Überfliegen ist ja “terminate” das was die Verbinung kappt, wenn es einem nicht gefällt. Hab ich zwar nicht gelesen, aber es könnte ja auch ein anderes Ende geben statt einem Zertifikatsfehler, dann ist die Frage, wie der Browser reagiert, wenn die Verbindung plätzlich tot ist.
Datenschutzrechtlich habe ich keine anderen Bedenken als bei http
Wahrscheinlich kaum, außer dass die Filterung „im Haus“ passiert und nicht irgendwo bei OpenDNS (das ja mittlerweile Cisco gehört und fraglich ist, wie lange die die Services noch laufen lassen).
Hi. Wir setzen tatsächlich nach wie vor auf OpenDNS – auch wenn es sich mittlerweile im Besitz von Cisco befindet. Der Grund ist --wie schon vermutet–, dass man damit facebook vollständig aus der Schule heraus halten kann. Das klappt auch erstaunlich gut und erfordert fast keinen Aufwand.
So wie ich es verstanden habe, hat man sich damit allerdings so etwas wie ein “offizielles mitm” installiert!? Vielleicht kann ja nochmal jemand erklären, wie OpenDNS weiß, dass hinter der verschlüsselten Anfrage facebook steckt? Die Verschlüselung knacken sie ja wohl kaum
Übrigens soll es möglich sein, OpenDNS mit DNSCrypt zu koppeln – nicht aber mit DNSSEC?! Ich habe die Geschichte, wie das mit dem IPFire und der Umstellung bei einem der letzten Updates (>=105?) auf DNSSEC war, zwar hier gelesen aber ich weiß leider nach wie vor nicht, ob es mit neueren Releases und OpenDNS wieder automatisch läuft oder ob man da noch manuell etwas nachträglich einstellen muss. Ist zwar hier OT aber ich wäre froh, wenn das auch nochmal jemand abschließend klären könnte.
Nein, MITM ist das nicht. Die DNS-Frage kommt ja noch vor dem Aufbau der HTTPS-Verbindung. Da blocken die das, d.h. bevor Client und Webserver überhaupt miteinander kommunizieren.
Aber auf deutsch heißt das auch: Wenn jemand clever ist, gibt er in den Browser die tatsächliche IP von facebook ein und kommt auch hin.
Man unterbindet nämlich nicht die Kommunikation mit Facebook, sondern verhindert, dass die Clients wissen, wer Facebook ist. Deswegen ist es auch kein Wunder, dass dnssec nicht zusammenspielt, denn dnssec versucht ja gerade Manipulationen an der Namensauflösung zu minimieren (wenn ich es richtig verstanden habe).
Das kann man unterbinden, indem man die Eingabe von IPs in der Firewall verbietet. in pfSense gibt es dafür eine Option und ich denke auch in IPFire. Ich glaube Holger macht das so.
Das ganze ist jetzt schon OT, aber… ist das nicht ein arger Eingriff, die Apps von Facebook und co könnten sich ja die IPs hardcoden und würden nicht mehr funktionieren.
Aber was ist mit allen anderen Apps, die auch ihre IPs hardcoden würden. Da würde man eventuell auch weiße Schafe treffen.
Gut, alles spekulation.