Allgemein

Firefox sendet per TLS kein SNI

Ich bin gerade auf ein kleines Problemchen gestoßen und zwar ließ sich ein von mir erstelltes SSL Zertifikat auf einer Domain, welche als VHost in meinem Apache eingetragen war, nicht abrufen.

Bei jedem Abruf erhielt ich das Zertifikat des ersten eingetragenen VHosts. Auf allen anderen Rechnern hier im Haushalt funktionierte es jedoch tadellos. Irgendwas an meinem Betriebssystem oder an meinem verwendeten Firefox 5.0 konnte also nicht stimmen.

SNI-Fehlgeschlagen

SNI-Test

Der Ablauf eines HTTPS-Abrufs sieht vor, dass der aufgerufene Hostname mit verschlüsselt wird. So weiß der Server bis zur Entschlüsselung (mit entsprechendem Zertifikat) nicht, welchen VHost er ansprechen muss um das richtige Zertifikat zu wählen. Für diesen Umstand gibt es SNI (Server Name Indication) welches durch TLS (Transport Layer Security) vor der eigentlichen Verschlüsselung/Übertragung im „Client Hello“ gesendet wird.

Erfolgreicher SNI Client Hello (Wireshark Screenshot)

Erfolgreicher SNI Client Hello

Diese teilt dem Server dann mittels einem gemeinsam ausgehandelten Schlüssel mit, welche Domain ich denn gerade versuche aufzurufen. Somit weiß der Server also, dass ich Domain www.example2.com aufrufen möchte und nicht die Hauptdomain www.example.com und liefert mir das richtige/passende Zertifikat.

Genau diese TLS Verbindung lieferte bei meinem Firefox jedoch kein SNI mit. Als erstes dachte ich, dass es eventuell am deaktivierten TLS liegen würde. TLS war jedoch in der GUI, genau wie unter about:config aktiviert (auf true gesetzt). Auch die Kontrolle des Paketverkehrs mit Wireshark zeigte, dass TLS benutzt wird. Nur eben der SNI Eintrag (server_name extension) fehlte.

Der Grund war, dass mein Firefox Profil aus irgendeinem Grund defekt war. Den Firefox also mittels Profilmanager gestartet.

"C:\Programme\Mozilla Firefox\firefox.exe" -ProfileManager

Ein neues Profil erstellt und gestartet. Läuft. Der Test unter https://alice.sni.velox.ch zeigte dass SNI wieder korrekt gesendet wurde.

Nun erklär‘ mir bitte einer, wie ich es geschafft habe SNI in meinem „Default“-Profil zu deaktivieren.

Vielen Dank!

Der Grund für die Verbindungsabbrüche?

Lezte Woche habe ich über Twitter die Verbindungsabbrüche in die USA über unsere Unitymedia-Leitung bemängelt. Aufgefallen war mir dies, da ich in einem Onlinespiel (EvE-Online) ständig getrennt wurde.

Anfänglich dachte ich an ein einfaches Routingproblem, da diese auch über die Telekom-Leitung häufiger auftraten. Laut CCP (dem Hersteller des Spiels) lagen die Abbrüche zu dem Zeitpunkt jedoch an deren Anbindung. Diese äußerten sich immer darin, dass man aus dem Spiel flog und sich im Login-Screen wiederfand welcher auch dann noch keine Daten vom Server empfing. (Spielerzahlen, Status usw. waren nicht verfügbar)

Diese Abbrüche waren jedoch anders. Jedes mal wenn die Verbindung abbrach hatte ich „Stillstand“ im Spiel. Stillstand bedeutet, dass alles genau so weiter läuft wie gewohnt, man jedoch keine verändernden Aktionen (z.B. einen Schiffsabschuss, Chatten, Inventar abfragen…) ausführen konnte. Man merkte also erst mal nichts davon, dass die Verbindung bereits abgerissen war.

Diese Woche traten diese Verbindungsabbrüche wiederholt auf, so dass ich versuchte nachzuvollziehen, woran es eventuell auf unserer Seite liegen könnte, da andere im Spiel über keinerlei Probleme klagten.

Bei näherer Betrachtung der Router-Logfiles fiel mir auf, dass in diesen häufiger zum Zeitpunkt der Ausfälle die folgenden Zeilen zu lesen waren:

May 15 11:31:20 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:31:20 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:31:18 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:59 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:59 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:45 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:43 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.

Zum selben Zeitpunkt war meine Mutter auf einer Website unterwegs, welche Werbung von genau dieser Seite / IP geschaltet hatte.

Die IP gehört laut DomainTools zur AdRom Holding AG (mit Briefkästen Firmensitz/Niederlassungen in Liechtenstein, Deutschland, Österreich und der Schweiz) einer „Dialogmarketing“-Agentur (also known as Spamversender).

Fraglich ist, warum eine Werbe-Firma Interesse daran hat, potentielle Kunden zu flooden

Ich hab daher nun erst mal allen ICMP Traffic über die Firewall gesperrt. Mal gucken ob ich weiterhin raus flieg…

 

Update: Brachte leider nix, anstatt den ICMP Traffic dann einfach zu verwerfen fängt er diesen immer noch ab, was dann darin endet, dass er alle Verbindungen kurz unterbricht. Zu lang für das Spiel, ICQ, IRC … oder was auch immer eine ständige Verbindung haben möchte. 😐

 

Update 2: Es liegt scheinbar an der mitgelieferten DLink Box. Die interne SPI-Firewall scheint mit „Ping“-Requests überfordert zu sein und hängt sich dann wohl ab und an gerne mal auf.[citation needed] Aktuell habe ich wieder eine Fritz!Box an der Leitung (Vielen Dank an den AVM Support für das neue Netzteil! ;)) und alles läuft stabil (und gefühlt schneller als über die DLink Box)

Bachelorarbeit…

Unsere Bachelorarbeit ist abgegeben und bestanden, fehlt nur noch das Kolloquium.

Auch wenn sich unsere FH bei der „Zulassung“ mal wieder echt ’nen Fauxpas geleistet hat.

Aus unserem Arbeitstitel

„Entwicklung einer Video Wissensplattform für die namibische Landbevölkerung“ wurde „Entwicklung einer Video Wissensplattform für [die] namibische Landesbevölkerung“

und aus dem englischen Titel:

„Development of a Video Knowledge Platform for Namibian Rural Communities“ wurde „Development of a video knowtedge plattform for Namibian rural communities“

Montgolfiade

Da ich schon länger nichts mehr geschrieben habe hier mal ein kleines Update…

Die letzten Wochen war ich mehr draußen, was bedeutet mehr draußen als sonst. Dazu muss ich vielleicht kurz erklären, dass damit nicht das verlassen des Hauses gemeint ist, sondern vielmehr das Teilnehmen an irgendwelchen Festivitäten und das obwohl ich eigentlich Menschenansammlungen vermeide. Nein, der September war schon irgendwie von Aktivitäten geprägt… denn was tut man nicht alles um sich von den nötigen Arbeiten wie zum Beispiel Bachelorarbeit schreiben abzulenken.

Zum Beispiel  war ich dieses Jahr zum ersten Mal auf der Montgolfiade in Warstein. War echt interessant was man so alles zum fliegen bringen kann!

Ansonsten immer noch alles beim alten. Wetter immer noch bescheiden, wenig los und überhaupt… …es wird Zeit endlich fertig zu werden.

Ballone nach dem Start

Nix los im Sauerland…

Naja, länger nix geschrieben. Aktuell passiert einfach nichts.

Unsere Bachelorarbeit dümpelt so vor sich hin, man schubbst sich von einem Schritt zum Nächsten. Irgendwie kann ich mich aktuell auch nicht aufraffen die ganze Zeit an der Ausarbeitung zu verbringen. Ich hoffe derzeit noch darauf irgendwann von der Arbeitswut gepackt zu werden und alles in einem Rutsch fertig zu machen, wann dieser Zeitpunkt sein wird ist jedoch unbestimmt.

Um draußen etwas zu unternehmen ist das Wetter auch zu unbeständig. Leider. Für mehr als ein paar Bilder reichts dann auch nicht.

Falls irgendjemand eine Idee hat was man mal außerhalb unternehmen kann, nur her damit!
Ich hoffe, dass der „Sommer“ noch nicht ganz vorbei ist und uns noch ein paar sonnige Tage erwarten…

CeBIT 2010

Q_Q

Ich war da! *zwinker*

Viel Neues gab es nicht in meinen Augen. Es war aber größer als ich dachte! Muskelkater in den Beinen lässt grüßen (Ich bins Laufen einfach nicht mehr gewohnt nach diesem langen Winter…)

Wie erwartet wird weiterhin auf doppel oder dreifach Grafikkarten gesetzt. 3D TFT-Monitore sind immer noch nicht wirklich ausgereift (nervendes Gezuckel beim Zocken)…

Was mir dieses mal jedoch aufgefallen ist, ist – das die Wirtschaftskrise auch an dieser Branche nicht vorbeigegangen ist. Kaum Giveaways… selbst Kullis waren Mangelware… sowas!

Google war leider nur mit bemalten Streetview Cars da… Etwas langweilig – hatte irgendwie mehr erwartet… (Apropos Google: http://tinyurl.com/yhmqd5n)

Blickfang ^_^

Sollte unseren Dozenten mal wer sagen

Neu Formatieren, Neu Installieren, Neu...

Neu Formatieren, Neu Installieren, Neu...

Google Streetview Cars...

Google Streetview Cars...