Google Chrome meldet Fehlercode "ERR_SSL_PROTOCOL_ERROR" beim Aufruf einer Webseite

Folgendes Szenario angenommen:

  • Es wird eine Webseite mit Google Chrome aufgerufen.
  • Der Verbindungsaufbau schlägt mit folgender Fehlermeldung fehl:
Diese Website kann keine sichere Verbindung bereitstellen
test.intra.adcslabor.de hat eine ungültige Antwort gesendet.
Versuchen Sie, die Windows-Netzwerkdiagnose auszuführen.
ERR_SSL_PROTOCOL_ERROR
„Google Chrome meldet Fehlercode "ERR_SSL_PROTOCOL_ERROR" beim Aufruf einer Webseite“ weiterlesen

Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP)

Zertifikate verfügen in der Regel über die Erweiterung "CRL Distribution Points", anhand derer einer Anwendung mitgeteilt wird, wo die zum Zertifikat zugehörige Zertifikatsperrliste (Certificate Revocation List, CRL) zu finden ist.

Diese gleicht einem Telefonbuch: In ihr finden sich alle Seriennummern von von der Zertifizierungsstelle zurückgerufenen (und noch zeitgültigen) Zertifikaten. Jede Anwendung, die den Sperrstatus überprüft, muss die gesamte Sperrliste herunterladen und auswerten.

Mit zunehmender Größe wird dieses Verfahren immer ineffizienter. Als Faustregel gilt, dass 100.000 zurückgerufene Zertifikate bereits ca. 5 MB Dateigröße für die Sperrliste entsprechen.

Hierfür wurde (federführend von der Firma ValiCert) das Online Certificate Status Protocol (OCSP) entwickelt: Es gleicht einer Auskunft, bei der Anwendungen den Sperrstatus für einzelne Zertifikate anfragen können, und somit der Bedarf entfällt, die gesamte CRL herunterladen zu müssen. OCSP ist im RFC 6960 spezifiziert.

„Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP)“ weiterlesen

TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln)

Bei Fehlersuche kann es sehr hilfreich sein, verschlüsselte SSL Verbindungen einzusehen, um die darin liegenden Nachrichten inspizieren zu können. Es gibt einen relativ einfachen Weg, dies mit Wireshark zu realisieren.

„TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln)“ weiterlesen

Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen

Oftmals können Probleme mit der Public Key Infrastruktur im zugrundeliegenden Netzwerk gefunden werden – beispielsweise wenn eine Firewallregel im Netzwerk fehlt.

Somit ist es hilfreich, wenn man in der Lage ist, den Netzwerkdatenverkehr mitzuschneiden, um ihn zu analysieren. Hierfür existieren exzellente Werkzeuge wie Wireshark, jedoch erfordern diese, dass eine Installation auf dem betreffenden System vorgenommen wird, was auf einem produktiven System nicht ohne weiteres vorgenommen werden kann und sollte.

Glücklicherweise besitzt das Windows Server Betriebssystem einen integrierten Mechanismus, um Netzwerkpakete mitzuschneiden. Die daraus resultierenden Dateien sind jedoch nicht mit Wireshark kompatibel. Das Microsoft-eigene Werkzeug, Message Analyzer, wurde zum 25.11.2019 abgekündigt und die Download-Links entfernt.

Nachfolgend wird daher beschrieben, wie ein solcher Mitschnitt erzeugt und anschließend in ein Wireshark-kompatibles Format gebracht werden kann, um den Mitschnitt abseits des betreffenden Servers analysieren zu können.

„Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen“ weiterlesen