ssl_error_bad_mac_alert (Internet)

Das hatte ich aber auch schon mal auf einer Web. Seite einen
ssl_error_bad_mac_alert Fehler ohne das ich was gemacht hatte,
da hatte die Seite irgendwo nen Fehler .

Ja wie gesagt, dass kann auch passieren, wenn ein Webserver falsch konfiguriert ist.
Aber dann tritt das nur bei dieser einen Webseite/Webserver auf.

Bei großen Betreibern wie google, die schon eine gewisse Qualitätssicherung haben bevor Änderungen ausgerollt werden, wird so etwas nicht passieren.

Und da es ein Server-Problem ist, wäre es auch unabhängig vom Client/Endgerät. Es würde bei jedem auftreten, der versucht die Webseite aufzurufen und nicht nur auf einem einzelnen Notebook, so wie hier beschrieben.
 
Also einem Werbeblocker der sich in die verschlüsselten Verbindungen einmischt würde ich nicht trauen.
Aber muss ja jeder selbst wissen.
Ich persönlich benuzt schon ewig uBlock Origin, wohl auch einer der meistbenutzen Werbeblocker und funktioniert super mit dem Firefox zusammen.
 
Ja und neu
Vertraut ihr auch keiner next Gen Firewall die TLS Inspection macht?

Der große Unterschied ist, dass wenn ich ein DPI/TLS-I einsetzte, ich dies selbst "aktiv" einsetzte, betreue und eben auch derjenige bin, der das Ent- und Verschlüsseln steuert. Nur ich es bin, der in den entschlüsselten Datenverkehr schauen kann. Ob und wohin Daten abfließen steht in meiner Verantwortung, ich kontrolliere den Datenverkehr! Ebenso stehen die eingesetzten Zertifikate unter meiner Kontrolle, nur ich habe die private keys.

Bei solch einem AdBlocker wie hier AdGuard oder einem Antiviren Programm auf Client-Eben gebe ich diese Kontrolle vollständig an den Hersteller der Programme ab. Ich muss diesem Hersteller blind vertrauen.
AdGuard kann, wenn "HTTPS Filtering" aktiv ist, sämtliche Passwörter, Mails, etc. mitlesen.

Ein Versprechen, dass sie es nicht tun, ist heute leider nichts mehr wert. Darauf kann man sich nicht verlassen.
Wie gut die Sicherheitsvorkehrungen gegen Einbrüche beim Hersteller sind, liegt nicht in meiner Hand.

Das es hier auch schon bei "namenhaften" Herstellern zu ziemlich heftigen Problemen gekommen ist, zeigt Symantec sehr eindrucksvoll. Die haben in der Vergangenheit schon mehrmals Mist gebaut, incl. "verlorenen" Schlüsseln (die an dunkelen Orten wieder aufgetaucht sind) und Ausnutzen ihrer Stellung als CA. Viele Systeme haben daraufhin Symantecs CA vollständig auf Blacklists gesetzt und sie haben Zeitweise sogar ihre Stellung als CA komplett verloren.

Zu guter letzt hast du immer mehr Dienste im Web, die auf so etwas wie TLS Inspection gar nicht gut reagieren.
Grob gesagt wird geprüft, ob das Zertifikat, dass der Client "bekommen" hat auch das ist, dass der Server ausliefert.
Wird das Zertifikat zwischendrin durch ein man-in-the-middle, oder wie hier einem TLS-I "ausgetauscht", bricht die Verbindung ab. Das ist z.B. auch ein Thema bei SSL Offloading auf Loadbalancern.

In einem Firmenetz ist nicht so das große Problem. Dort können spezielle Lösungen für die benötigten Diense bereitgestellt werden. Wenn sich Hans Peter nicht mehr auf Netflix* anmelden kann, wäre das vielleicht ja sogar gar nicht schlecht. (*Ist jetzt einfach ein völlig aus der Luft gegriffenes Beispiel!)
Im besten Fall sind hier ja sowieso nur bestimme Dienste/Webseiten erlaubt.

Im Privaten kann das aber schon zu erheblichen Problemen und Einschränkungen kommen.
 
Zurück