Grade in Firmennetzwerken dauert es manchmal sehr lange bis eine https Seite mit dem Internet Explorer geladen/angezeigt wird. Eins vorne weg: es ist (mal wieder) nicht die Schuld des IE! Zwinkerndes Smiley

Es gibt dafür sicher mehr als eine mögliche Ursache, aber eine der weitverbreitetsten möchte ich heute auf den Grund gehen. Bevor ich loslege möchte ich – falls noch nicht eh schon gelesen– meinen Blogpost über Zertifikate empfehlen um in die Materie einzusteigen.

In dem o.g. Post bin ich zwar allgemein auf Zertifikate eingegangen, habe aber einen wichtigen Teil des Mechanismus unterschlagen: was ist, wenn ein Zertifikat kompromittiert wurde und es damit nicht mehr vertrauenswürdig ist?

Die Antwort darauf lautet Certificate Revocation Lists oder kurz CRL, bzw. auf deutsch Zertifikatssperrlisten.

CRLs sind einfache Textfiles, über die herausgegebene Zertifikate zurückgezogen werden können. Die Location dieser CRLs kann (und imho sollte) in einem Zertifikat mit angegeben werden, z.B.:

image

Wenn nun der IE ein Zertifikat mit einer angegebenen CRL nutzen soll, so fordert dieser abhängig von seinen Settings diese CRL an um zu überprüfen, ob das verwendete Zertifikat neben der drei anderen Kriterien (Gültigkeitszeitraum, Domain, Herausgeber, s.o.g. Post) auch nicht zurückgezogen wurde.

Wenn nun aber der Proxy/Firewall/Router die Verbindung zur CRL nicht zulässt und komplett blockt, ohne eine http Fehlermeldung zurückzugeben, so gelten die üblichen Timeout Bestimmungen und der IE wartet mit dem Laden der Seite, bis der Timeout (z.B. 30s) vorüber ist.

D.h. Firewall Admins sollten immer dafür Sorge tragen, dass CRLs heruntergeladen werden können, denn sonst erhöhen sie das Risiko bei der Verwendung von https. (oder zumindest darauf achten, dass nicht einfach nur “gedroppt” wird, sondern über z.B. http 403 Forbidden dem IE signalisiert wird, dass der Zugriff auf die Resource nicht erlaubt ist und er weitermachen kann.)

Bis zum nächsten Post!

 

Wer widerspricht, ist nicht gefährlich. Gefährlich ist, wer zu feige ist zu widersprechen. Napoleon I.

-Stephanus