Hallo liebe Community,
entweder stehe ich gerade auf dem Schlauch, bin verwirrt oder was auch immer.
Vom BSI gibt es ja diese Basis Anforderung für Webbrowser:
APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren Version unterstützen. Unsichere Versionen von TLS SOLLTEN deaktiviert werden. Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) gemäß RFC 6797 unterstützen. Für alle wichtigen öffentlichen TLS-verschlüsselten Web-Dienste SOLLTEN die Domains in die HSTS-Preload Liste des Browsers eingefügt werden.
Unsichere Versionen von TLS = <= TLS 1.2
Ich kann in Chrome, Edge Chromium, Internet Explorer usw. min TLS 1.2 aktivieren, bzw. die Haken bei den älteren TLS Versionen entfernen.
Soweit klar. Jetzt nutzen wir aber über die UTM (9.705-3) die Web Protection mit HTTPS "Entschlüssen und scannen" mit einem vorgeschaltetem Zertifikat unserer CA.
Wenn ich jetzt auf der Webseite badssl.com die Seiten TLS 1.0, TLS 1.1 überprüfe, öffnet er über den Proxy diese Seiten ganz normal.
Surfe ich ohne Proxy erhalte ich wie zu erwarten und auch wie gewünscht die Meldungen:
tls-v1-0.badssl.com verwendet ein nicht unterstütztes Protokoll
tls-v1-1.badssl.com verwendet ein nicht unterstütztes Protokoll
Wie kann ich verhindern, dass sich über den Proxy Seiten mit TLS <= 1.2 öffnen lassen?
Danke im Voraus für eine Rückmeldung.
Gruß stetze
This thread was automatically locked due to age.
