SSL Filterung

Für all die jenigen die bei diesem Thema im Dunkeln tappen, möchte ich mit diesen Beitrag ein wenig Licht in dieses Thema bringen.

Mehr und mehr Webseiten benutzen heutzutage https als Standardeinstellung um die Websitebesucher und ihre Daten zu schützen. Dies resultiert jedoch aufgrund der verschlüsselten Verbindung in Einschränkungen im Zusammenhang mit der Filterung von Webseiten. Es ist zum Beispiel bei einer https Verbindung nicht möglich:

  • anhand der URL zu filtern
  • Medieninhalte zu sperren
  • Downloads zu blockieren

Dies betrifft alle Arten von Inhalten und damit insbesondere auch pornographische oder Jugendgefährdende Inhalte. Deswegen besteht der verständliche Wunsch auch Inhalte über eine https Verbindung zu filtern.

Mit Squid besteht die Möglichkeit diesem Wunsch zu entsprechen. Allerdings sind damit einige Vor und Nachteile Verbunden die genau überlegt sein wollen. Diese Vor und Nachteile sind jedem Proxysystem zu eigen dass verspricht https-Verbindungen zu filtern:


Der Vorteil besteht klar darin, dass wieder eine Vollständige Filterung der Inhalte möglich ist. Medieninhalte und verdächtige Suchanfragen werden automatisch blockiert.


Der Nachteil besteht jedoch darin dass ein solches Proxysystem dafür die https Verbindung entschlüsseln muss. Dazu implementiert es eine so genannte Man-In-The-Middle Strategie. Die Verbindung vom Rechner zum Proxysystem ist verschlüsselt und die Verbindung vom Proxysystem zur Webseite ist verschlüsselt. Lokal auf diesem Proxysystem, genau genommen der Squid Software, liegen die Daten jedoch unverschlüsselt vor. Dies betrifft u.a. auch verschlüsselte Bankverbindungen, oder Portale mit sensitiven Informationen. Sollte ein Hacker Zugriff auf dieses System erlangen, könnte er im Prinzip an diese Daten gelangen.


Des weiteren muss bei jedem Client das Root Zertifikat des Proxysystems importiert werden (IPFire: http://IHREPROXYIP:81/cacert.crt). Ohne diesen Schritt ist eine Verbindung zum Internet nicht möglich.


SSL mit IPFire filtern!

Quelle: Openschoolproxy