SSL-Betrieb/TLS-Handshake

Dirk Stephan shared this question 3 months ago
Need Answer

Seit den letzten beiden Updates habe ich Probleme im Datenverkehr auf einigen Seiten. Entweder kommt die Meldung:

  • TLS-Handshake durchführen mit fonts.googleapis.com oder
  • TLS-Handshake durchführen mit translate.google.com

Bei beiden Meldungen bleibt der Seitenaufbau stehen und es geht nichts mehr.

Comments (33)

photo
1

Bitte nennen Sie uns ein mal die Seiten, welche dieses Verhalten an den Tag legen.

Welche Browser nutzen Sie und welche Version haben diese?


Betrifft es alle Browser, oder nur einen (oder ein Paar). Wenn nur einen (oder ein Paar), welche/r Browser?

Ihr eBlockerOS ist 1.5.12, richtig?

Welches Betriebssystem in welcher Version setzen Sie ein?

photo
1

Ich war leider im Urlaub, konnte deshalb nicht antworten. Mittlerweile habe ich die OS-Version 1.7.5 und nutze im Prinzip alle Browser (Firefox, Chrome und IE/Edge) in der aktuellen Version unter Win7/Win10.


Es tritt bei allen Seiten auf, die Schriftarten, API's oder andere Google-Komponenten verwenden. Muss aber fairnesshalber dazu sagen, dass das Verhalten ab der neuen v1.7.5 etwas besser geworden ist und nach einer Wartezeit von 15-20s der Download der Seite fortgesetzt wird.

photo
1

Dieses Verhalten zeigt sich auch bei mir, gemeldet vor einem Monat hier:


http://user.forum.eblocker.com/topic/warum-ich-den-eblocker-vorl%C3%A4ufig-zur%C3%BCckgeschickt-habe


Dort sind auch einige Seiten aufgeführt, bei denen das Problem auftritt. Ich habe den Test heute wiederholt, es zeigt sich noch immer dasselbe Problem:


  • eBlocker auf Raspberry Pi 2 1.1, Version 1.7.5.
  • Ich habe das alte Zertifikat gelöscht (Betriebssystem und Firefox)
  • Dann ein neues Zertifikat erstellt und im Betriebssystem und Firefox hinterlegt (in dieser Reihenfolge), gemäss Anleitungim Handbuch Kapitel 6.2. Betriebssystem ist Windows 10.
  • Avast Internet Security: «HTTPS-Scanning» ist ausgeschaltet.
  • Ich besitze eine Fritz!Box 7490. Der eBlocker ist gemäss Anleitung auf «manuell» konfiguriert.
  • Anon Funktion ist ausgeschaltet.
  • Folgende Webseiten laden nicht (nur in Firefox laden sie nicht, in Google Chrome werden sie geladen):

photo
1

...also ich betreibe momentan einen DIY-BananaPI-M2 (bin wieder zurück gegangen auf den M2, weil der M2Plus zuviel "gezickt" hat).


Verwende eine ähnliche Konstellation, aber ohne 7490 dafür mit 7390 - Rest ist auch alles auf manuell Betrieb.

Als OS laufen div. Ubuntu's und Firefox/Chrome/Opera mit aktuellen Zertifikaten im OS und in den Browsern.

Meine SSL Ausnahmeliste beinhaltet lediglich Whatsapp in allen Varianten.


Von den o.g. Domains kann ich jede problemlos aufrufen - mit FF und Chome getestet.


Dafür habe ich seit dem Update auf 1.7.5 einen anderen seltsamen Effekt.

Ich bekomme hauptsächlich bei HTTPS, und vereinzeilt auch bei HTTP Verbindungen sporadisch folgende Fehlermeldung:


----

Fehler: Verbindung fehlgeschlagen


Firefox kann keine Verbindung zu dem Server unter http://www.xing.com aufbauen.


Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.

Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.

Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf.

---

Wenn ich dann den Button "Neu laden" drücke, kommt die Seite problemlos.


Beim Chrome kommt ebenfalls eine Meldung. Diese ist aber nur ganz kurz zu sehen, denn der Chrome lädt anscheinend die Seite selbstständig nochmal.


Es passiert immer wieder mal, aber nicht gezielt reproduzierbar.


---

photo
1

aktuell hier ein Images zur Webseite "vfbfuenfeichen.de". Firefox macht hier nicht weiter.

3c78f85a25d17407d626dd70376e06a4

photo
1

Du verwendest nicht zufällig Avast als Antivirus-Lösung? Ich konnte den Fehler nun ganz eingrenzen und zwar so:


  • Ich verwende Avast Internet Security (neueste Version).
  • Wie oben beschrieben ist «HTTPS-Scanning» ausgeschaltet.
  • Daneben muss auch noch die Komponente "Real Site" ausgeschaltet werden.

So funktionieren alle Webseiten (auch diejenigen, welche du oben erwähnst und auch alle von meinen!).

photo
1

Leider ist das Problem immer noch akut und zwingt mich immer öfter den eBlocker abzuwählen.

Ichn nutze zwar auch ein Produkt von AVAST (AVG AV Business-Version), aber es gibt dort keinen Punkt «HTTPS-Scanning». Dort gibt es nur einen Punkt «Surf-Shield», der nicht weiter unterteilt ist.

photo
1

Der Punkt "HTTPS-Scanning" kann auch an sein, Tim vom Support hat einfach mal geschrieben, dass diese Funktion ausgeschaltet sein soll. Wenn ich "Real Site" ausgeschaltet habe, kann "HTTPS-Scanning" an oder aus sein, es funktioniert.

Probier mal in AVG AV den Browser-Schutz auszuschalten (falls es sowas gibt) oder die DNS-Prüfung.

photo
1

Ich gehe mal davon aus, dass das Team an dem Problem arbeitet. Neuerdings kann ich mit aktiven eBlocker nicht mal mehr dieses Forum richtig laden. Ganz abgesehen von einer flüssigen Arbeit auf meinen Internetseiten.

12e268c761a89746efafd6d310d854fd

Nach einer bestimmten Zeit hängt sich die Verbindung auf. Das betrifft sowohl eine Verbindung mit VPN, als auch ohne VPN.

photo
1

@ Dirk Stephan:

  • Welche Funktionen sind beim eBlocker alles aktiv und wie ist Ihr Netzwerk aufgebaut?
  • Nutzen Sie nur den Firefox, doer auch andere Browser (tritt bei jedem Browser das gleiche Problem auf?)?
  • Welche Erweiterungen nutzen Sie gegebenenfalls im Firefox?
  • Laufen neben dem Antivirus unter Windows gegebenenfalls noch weiter Netzwerk-Tools?
  • Ist das eine reine Windows Installation, oder zB eine Parallels / VirtualBox virtuelle Machine?
  • Wurde gegebenenfalls IPv6 für das Windows (10?) deaktiviert ? ( https://support.microsoft.com/de-de/help/929852/how-to-disable-ipv6-or-its-components-in-windows )

photo
1

@Tim

Wenn du nichts dagegen hast, bleiben wir beim "Du".

Funktionen eBlocker:

  • DHCP deaktiviert
  • DNS aktiv
  • SSL aktiv
  • VPN aktiv (eigener Eintrag per *.ovpn Datei)

Heimnetz über FB 7580 mit Active Directory - Domänencontroller (Serverbetrieb)

Es werden alle gängigen Browser im Heimnetzwerk benutzt (FF, Chrome, Edge - IE11, Safari) mit Erweiterungen für Rechtschreibung, Deaktivierungs-Add-On für Google-Analytics, OpenH264-Videocodec von Cisco

Es laufen neben der AV-Software nur 3 Tools (Real-VNC, David-Chat (Bestandteil vom DAVID-Server-Client) und OpenVPN)

Es handelt sich immer um eine reine Windows-Installation (Win 7 und Win 10)

IP6-Protokoll ist nicht deaktiviert, es wird aber nicht unterstützt durch die FB


P.S. Nur mal so nebenbei erwähnt, stimmt die Datumsanzeige im Ereignisprotokoll vom eBlocker nicht. Der eBlocker hat sich gestern von alleine verabschiedet und nichts aufgezeichnet. Heute habe ich das Gerät neu gestartet (stromlos gemacht). Im Protokoll erscheint für Heute:

19. Aug 2017 23:18:09 Der eBlocker-Hauptprozess wurde gestartet.

19. Aug 2017 23:18:06 Die Stromzufuhr des eBlockers wurde unterbrochen.

Das Gerät zeigt eine falsche Zeit an!

8e9774ce966e36fbc92d86b91b5518d6

Heute haben wir bereits den 23.08.2017 !?

photo
1

Diese Seite kann ich heute auch nicht mehr laden. Zertifikat ist ok und URL wurde vorsichtshalber auch in die Ausnahmeliste gesetzt - funktioniert nicht unter IE/Chrome.

https://david.tobit.software/Support

photo
photo
1

Danke für die Rückmeldungen.

Wir konnten dieses Phänomen "Sending request to plattform.twitetr.com" (Opera Meldung) und "Preforming a TLS handschake to http://www.facebook.com"; (Firefox Meldung) unter Linux (Opera) nachstellen. Beide Browser haben keine aktive Erweiterungen. Unter macOS Sierra, macOS High Sierra und iOS 10.3.3 konnten wir das bis jetzt nicht reproduzieren (Safari, Chrome und Firefox).

Für unsere Entwicklungsabteilung habe ich dennoch ein Ticket zum Thema "TLS-Handshake" angelegt.

photo
1

Wie bereits geschrieben, wurde das Zertifikat sowohl unter Firefox, als auch unter IE11/Chrome ordentlich installiert. Firefox zeigt die Seiten an. IE11 und Chrome laden nur einen teil der Seite.

e7711f7694080ea955f1133fdc607cc3

Im FireFox sieht die Seite aus, so wie es sein soll.

ac786a087350e97791180964e0c2d471


Unter IE11 und Chrome wird nur das Grundgerüst geladen. Button sind nicht bedienbar.

a9d4a9dd8a7c6d6e18797a94d394d831

photo
1

Nach dem Update des eBlockerOS auf 1.7.6 funktioniert im Edge/IE11 u. Chrome unter Win10 bei mir nichts mehr unter SSL.

2c67815ff10fd9ddd24c50fcbb4395dd

Auch nach einem Erneuern des Zertifikates passiert leider nichts. Zumal das Zertifikat-Fenster anders aussieht, als bei Euch in der Hilfe. Es wird von vornherein als "nicht vertrauenswürdig" angezeigt.

eb33039e7d9c93f549fda73fb3cb26fb

photo
1

Handel es sich um eine Webseite? Wenn ja, welche?

Oder handelt es sich um ein selbst erstelltes Zertifikat für eine Webseite, oder um ein Zertifikat einer offiziellen Zertifizierungsstelle?

Was noch sein könnte: Windows Client Zeit und eBlocker Zeit unterscheiden sich um Muten / Stunden.

photo
1

hallo Leute, ich hatte auch das problem das unter win7 plötzlich alle browser nicht mehr konnten und manche seiten erst nach x minuten aufgingen, darauf hin habe ich "avg antivirus free" deinstalliert und alles flutscht jetzt wieder, ich muss jetzt nur noch ein neues antivieren tool inst.

photo
1

Es handelt sich um das eBlocker-Zertifikat. Siehe hier.

@Andreas

Das kann ja nicht im Sinne des Erfinders sein, dass man das AV-Programm deinstallieren muss.

photo
1

Thema AVG AV Free und SSL:

Den SSL TLS Scan deaktivieren hilft auch.

"Options" -> "Advanced Settings" -> "Web Browsing Protection" -> "Online Shield" -> "Expert Settings" dort "Scan encrypted (TLS and SSL) network traffic" deaktivieren

(Deutsche Version von AVG AV kann eine Deutsche Menüführung haben)

photo
1

Leider scheint es nicht die Lösung zu sein, diesen Service abzuwählen im AV-Programm. Nach einer unbestimmten Zeit ist der eBlocker immer noch überfordert und es passiert nichts mehr im Netz. So als ob er vollkommen überfordert ist. Wenn man ihn eine Weile in Ruhe lässt und sich später wieder mit ihm verbindet funktioniert es wieder. Anscheinend kennt man das Problem, kann aber nichts machen. Man sitzt es einfach aus. Genau wie bei Windows.


Ich weiß ja nicht wie viele Entwickler am eBlocker (Software) sitzen, möglicherweise nicht genug.

photo
1

...und du glaubst, mit der "Windows Keule" um dich zu hauen, löst das Problem (schneller)?

Na ich weiß ja nicht...

Dieses Problem ist schon viele Monate alt - weiß aber leider nicht mehr, ob es mit der 1.0x oder erst mit der 1.3x

"so schlimm" wurde.

In Summe sind die ganzen SSL/TLS Erscheinungen inzwischen so nervig, dass ich den eB bei mir derzeit nur

noch zum Testen verwende, und den Rest der Family wieder herkömmlich durch route.

Was mich persönlich am meisten nervt, ist die Tatsache, dass der "Bug" relativ häufig passiert, mit einem

Reboot i.d.R. weg zu bekommen ist, aber anscheinend von Niemandem in der Kasten zu bekommen ist.

photo
1

scheinen einige Schnarcher beim eblocker-Team zu arbeiten. Das Problem ist immer noch nicht behoben. Dasselbe mit den VPN (speed wird um Faktor 10 reduziert)

photo
photo
1

Dieses Problem ist in Arbeit. Es kommt zu einem Zeitproblem, wenn viele HTTPS Verbindungen von einer HTTP, oder HTTPS Webseite aufgemacht werden.

Leider ist das in der heutigen Zeit so ein Unding, dass man alles irgendwo her lädt. Fonts, CSS, JavaScripte, Werbung, Tracker, Streams, Gifs ect. Für alles was über eine HTTPS kommt und dies eine dem eBlocker nicht bekannten HTTPS Verbindung ist, wird vom eBlocker ein internes Zertifikat ausgestellt.

Zur Zeit analysieren wir dieses Problem und versuchen den Grund zu finden. Liegt es an der Überprüfung des Server Zertifikats, oder am ausstellen des eBlocker Zertifikats für den Server?

photo
1

Ich weiß nicht so recht, ob das das einzige Problem mit SSL ist. Möglicherweise gibts ja auch zusätzlich noch eine Art Geschwindigkeitsproblem. Mir fällt z.B. auf, dass Verbindungen die über meinen langsamen DSL3000 geroutet werden, schneller und häufiger von dem Problem betroffen sind, als die jenigen, die ich über meine LTE Verbindung mit ø40MBits route. Es fällt auch auf, dass meistens dann, wenn das Problem auftritt, sich der eB mit irgend einem java Prozess zu Tode schuftet, also mindestens 100% CPU Last auf mindestens einem Kern hat.

photo
1

Auch nach dem OS-Update oder Aktualisierung (wie auch immer) ist das Problem mit Google und TLS-Handshake nicht verschwunden. Nach wie vor hängt sich der Ladevorgang bei Webseiten sporadisch auf. Egal welchen Browser ich benutze.

photo
1

...unter:


http://forum.eblocker.com/knowledge-base/article/release-notes-1-9


steht doch auch nix davon, dass der Fehler gefunden und beseitigt worden wäre...

photo
1

@Günter N.

Ich hatte auch keinen anderen Beitrag erwartet. Tausche dich mit "MrGreenwood" lieber aus.


Allgemein

Zusätzliche Fehler wurden behoben und weitere Verbesserungen an der Benutzeroberfläche und an den Kernkomponenten wurden umgesetzt, um die Stabilität und Performanz weiter zu optimieren. 

Was man auch immer unter "zusätzliche Fehler" versteht. Verbesserungen kann ich nicht wirklich feststellen. Und schon gar nicht in der "Performanz". Ich weiß nicht inwiefern man sich Problemen genähert hat?

photo
1

Sehr gut!

...dann ist meine unterschwellige Botschaft jetzt endlich angekommen,

und wir können wieder auf einem ordentlichen (normalen) Niveau weiter machen... :-)

photo
1

...dann ist meine unterschwellige Botschaft jetzt endlich angekommen, 

Du solltest Botschafter werden! ;-)

photo
1

...bin ich doch schon seit Jahren. ;-)

photo
1

Ich habe Die Seite https://www.security-insider.de/ mit verschiedenen Browsern unter Linux uns macOS geöffnet und hatte dabei keine Probleme.

Der erste Aufruf einer HTTPS Seite braucht immer länger, da wir alle Zertifikate von HTTPS Verbindungen dieser Webseite überprüfen.

In der alten eBlockerOS Version 1.7 prüften wir noch jedes Zertifikat einzeln, was zu Zeitproblemen führte.

Ab der eBlockerOS Version 1.9 prüfen wir nicht mehr jedes Zertifikat, sondern vermeiden nun eine doppelte, oder x-fache, Überprüfung.

photo
photo
1

Hallo,

auch bei mir nehmen die Probleme bei aktivem SSL zu. Webseiten, die vorher funktioniert haben, können zum Teil gar nicht mehr aufgerufen werden. Zum Beispiel https://www.security-insider.de/ und einige weitere.


... TLS-Handshake mit xyz ...

Dann die untenstehende Fehlermeldun, die immer erscheint:

f99a13e6c7a7b2ce602385448655b61c


Ich nutze den Firefox, tritt aber auch beim Edge auf.


eBlocker OS v1.9.5

photo
1

Also das ganze SSL funktioniert bei mir nur sehr sehr zäh, bis garnicht.

Selbst diese Seite hier bekomme ich nicht anständig geladen (Firefox/Edge unter Windows 10 Pro). Vorher hatte ich schon einmal einen Werksreset und ein neues Zertifikat probiert, ohne Erfolg.

Ich gebe langsam auf ...