Beiträge von tom patapom

  • FF 1.0DE und https: Verwendung von Port 80 Bug - und Lösung!

    Hi,

    Zitat

    Vielleicht will er zu port 80 Verbinden um das Zertifikat auf Echtheit zu prüfen. Wenn du sagst das die URL zu Verisign gehört, dann kann das gut möglich sein.

    Mir ist schon klar,dass das der Versuch ist, das Zertifikat zu authentifizieren. Nur kann das nicht funktionieren, wenn Port 80 für derlei Versuche gesperrt ist. Ne Menge Firmen, die Port 80 sperren und einen Proxy z.B. auf 8080 betreiben, können Firefox mit aktivierter OCSP-Option nicht betreiben.

    Meine Frage war,

    Zitat

    Ist das ein Feature? Erfordert OCSP zwingend eine Verbindung auf Port 80?
    Wenn nein, halte ich das für einen Bug, denn das OCSP-Protokoll sollte sich bei outgoing connections dann wie http verhalten und die Proxy-Einstellungen berücksichtigen...

  • FF 1.0DE und https: Verwendung von Port 80 Bug - und Lösung!

    Hi,

    Zuerst die Daten :)

    OS: egal, dieses Phänomen ist nicht vom OS abhängig,
    FF: Version 1.0DE (Gecko/20041122 Firefox/1.0),
    Webwasher als lokaler Proxy auf 8080,
    Kerio Firewall 4.1, Port 80 komplett gesperrt, Port 8080 und 443 für FF explizit freigegeben,
    in FF (nur) unter http Webwasher als 127.0.0.1:8080 - Proxy eingetragen.

    jetzt das Problem:

    Beim Aufruf von https-Seiten versucht FF zuerst, eine Verbindung zu 12.166.243.30 auf Port 80 aufzubauen. http://www.ripe.net sagt, diese IP gehört zu Verisign.

    Dieses Phänomen ist im Forum schon von mehreren Personen beschrieben worden. Bisherige Lösungsansätze hatten dabei immer die Firewall in Verdacht. Eine "echte" Lösung habe ich bisher nicht gefunden.

    Und nun mein Erklärungsversuch:

    'Schuld' ist IMHO die OCSP-Option in den "Erweitert"-Einstellungen. Steht diese auf "OCSP nur zur Validierung von Zertifikaten verwenden, die eine OCSP-Service-URL angeben" steht, erfolgt vor jedem https:-Verbindungsaufbau ein Zugriff auf Port 80 auf die o.a. IP-Adresse (bzw. ich habe bei meinen Versuchen keine andere IP bemerkt).

    Jetzt die Frage an die Spezifikations-Spezialisten:
    Ist das ein Feature? Erfordert OCSP zwingend eine Verbindung auf Port 80?
    Wenn nein, halte ich das für einen Bug, denn das OCSP-Protokoll sollte sich bei outgoing connections dann wie http verhalten und die Proxy-Einstellungen berücksichtigen...