Toon posts:

Verkeerd SSL certificaat bij gebruik gasten wifi

Pagina: 1
Acties:

Vraag

vrijdag 15 december 2023 09:26

Acties:
  • 0 Henk 'm!
  • kaandorp
  • Registratie: November 1999
  • Laatst online: 19-09 22:48

kaandorp

Topicstarter
Als ik met mijn MacBook op kantoor gebruik maak van het gasten wifi netwerk krijg ik sinds kort allemaal fouten bij het openen van websites. Het certificaat van de website lijkt te worden vervangen door een certificaat van een server van mijn werk.

Omdat er dan een andere hostname op het certificaat staat krijg je uiteraard SSL foutmelding.

Het certificaat heeft dan bij de common name: tlsproxy.bedrijfsnaam.com en bij de Organisation name mijn bedrijfsnaam. Zodra ik via mijn telefoon hotspot werk gaat alles weer goed. Het probleem lijkt zich te beperken tot mijn MacBook.

Het lijkt er dus op dat het verkeer via een proxy loopt en hierbij het SSL certificaat wordt vervangen. Het is alleen gek dat dit alleen bij mijn laptop lijkt te gebeuren. Ik heb het zowel bij Chrome als Safari. Het zit dus niet in de browser. Is er misschien een andere plek op de laptop waar ik iets kan resetten of verwijderen of zit het probleem echt aan de netwerk kant?

Alle reacties

vrijdag 15 december 2023 09:55

Acties:
  • 0 Henk 'm!
  • Slonzo
  • Registratie: Mei 2007
  • Niet online

Slonzo

Taarsidath-an Halsaam

Je hebt waarschijnlijk het root of intermediate certificaat van de CA van je werkgever nodig in je cert store.
Maar het is raar dat dat op een gastennetwerk zou moeten, dat kan niet de bedoeling zijn.

[ Voor 29% gewijzigd door Slonzo op 15-12-2023 09:56 ]

vrijdag 15 december 2023 10:01

Acties:
  • 0 Henk 'm!
  • Korvaag
  • Registratie: Januari 2000
  • Laatst online: 22:22

Korvaag

Wat er geheid gebeurt (en ik ben het met de persoon hierboven eens dat dit niet zou moeten op een gastennetwerk) dat er op de proxy terminatie en packet inspection plaatsvindt waarna alles weer encrypted doorgestuurd wordt. Daarom wil je op bedrijfsnetwerken ook geen privedingen doen. Voor de bedrijfslaptops 'zie' je dit niet om de dat CA inderdaad in je browser is geladen als vertrouwd. Je denkt dus lekker veilig aan het internetten te zijn terwijl alles op de proxy wordt uitgekleed.

Voor het gastennetwerk is dit erg raar om te implementeren omdat al die browsers de CA niet vertrouwen.

UNOX: The worst operating system

vrijdag 15 december 2023 13:08

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Volgens mij betreft het gebruik van je prive laptop op het gastennetwerk van je werk/ kantoor. Dan lijkt het erop dat ze een transparant proxy gebruiken om te kunnen filteren of zo maar is het niet fijn geimplementeerd. Zou het eens voorleggen aan de verantwoordelijke.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 15 december 2023 13:12

Acties:
  • +1 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 22:55

DukeBox

loves wheat smoothies

Op het moment dat je een root CA vertrouwd die door je werk is uitgegeven, is het mogelijk om al jouw dataverkeer te de crypten. Een dergelijke MITM zou ik nooit toestaan/willen, zeker niet met mijn privé devices op een gasten netwerk.

[ Voor 5% gewijzigd door DukeBox op 15-12-2023 13:13 ]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 15 december 2023 13:21

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 03:07

CAPSLOCK2000

zie teletekst pagina 888

Je baas wil meekijken, niet doen, alles wat je online doet (inclusief je wachtwoorden) worden dan zichtbaar voor je baas.

Sterker nog, besef dat er dus ook wordt meegekeken bij je dagelijkse werkzaamheden. Ook als je prive even op Facebook kijkt of zo iets. Dat is op zich niet verboden maar je baas hoort wel duidelijk te maken dat er mee gekeken wordt, net als wanneer er camera's hangen in de ruimte waar je werkt.

SSL doet hier precies waar het voor bedacht is, voorkomen dat je data in de verkeerde handen valt.

[ Voor 10% gewijzigd door CAPSLOCK2000 op 15-12-2023 13:22 ]

This post is warranted for the full amount you paid me for it.

vrijdag 15 december 2023 13:37

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 07:33

laurens0619

Is er een captive portal aanwezig op de gastenwifi die je misschien nog niet hebt goedgekeurd?

Als je nog niet geauthenticeerd bent wordt alles richting die captive portal gestuurd en krijg je ook rare SSL fouten

CISSP! Drop your encryption keys!

vrijdag 15 december 2023 16:48

Acties:
  • +1 Henk 'm!
  • kaandorp
  • Registratie: November 1999
  • Laatst online: 19-09 22:48

kaandorp

Topicstarter
Thanks allemaal! Het betreft een zeer grote werkgever in een wereldwijd netwerk waar het guest netwerk overal op dezelfde manier is geconfigureerd. Ik ga er dus maar even vanuit dat de intenties goed zijn. Een certificaat accepteren zou niet nodig moeten zijn aangezien het op andere devices wel prima werkt.
Ik vind de suggestie van de captive portal ook wel een goeie. Die ga ik nog even onderzoeken. Ik ga toch ook maar een intern ticket aanmaken en zal me terug melden als ik een reactie heb.

maandag 19 februari 2024 18:47

Acties:
  • 0 Henk 'm!
  • kaandorp
  • Registratie: November 1999
  • Laatst online: 19-09 22:48

kaandorp

Topicstarter
Nou het was allemaal ingewikkelder dan gedacht. Blijkbaar lag het aan een tunnel tussen de WLAN controller in onze site en de WLAN controller op het hoofdkantoor. Deze is weer hersteld en alles werkt weer. Dank voor alle hulp!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq