Wenn die TrutzBox eine verschlüsselte Verbindung zu einem Server erkennt, dann versucht sie diese Verbindung zu entschlüsseln. Dies allerdings nur, wenn das Flag "HTTPS Daten für dieses Gerät filtern" für das Gerät, das die Verbindung aufbaut, aktiviert ist. Was standardmässig der Fall ist.
Hier zunächst eine Erklärung, wie ein Browser und auch die TrutzBox, eine sichere Verbindung zu einem Server aufbauen kann. Immerhin kann der Browser keinen festen Schlüssel für alle Web-Seiten kennen:
Beim Aufruf einer Web-Seite mit einem Browser, ist der entsprechende Schlüssel dieser Verbindung durch eine Root-Ca signiert. Dann ist eine Authentisierung des angesteuerten Servers und ein Schlüsselaustausch technisch möglich, da ansonsten der Browser auch keine sichere Verbindung aufbauen könnte. Wenn also ein Browser über eine verschlüsselte Verbindung (TLS) eine Web-Seite aufruft, dann kann auch die TrutzBox den angesteuerten Server authentisieren, den Schlüssel austauschen, die Daten analysieren und für die Kommunikation mit dem Browser wieder mit einem neuen Zertifikat, dass jetzt allerdings mit dem TrutzBox-Stamm-Zertifikat verschlüsselt wurde, wieder verschlüsseln.
Andere Programme (nicht Browser), die eine Verbindung immer zum gleichen Server aufbauen, haben das Zertifikat des Servers, mit dem sie kommunizieren, fest im Programm einprogrammiert. Das Zertifikat kennt die TrutzBox nicht und somit ist es für die TrutzBox technisch nicht möglich, die Daten zu entschlüsseln.
Die TrutzBox hat in diesem Fall zwei Möglichkeiten:
- die Verbindung standardmässig nicht erlauben, also sperren und es dem TrutzBox Administrator frei stellen, den angesteuerten Server frei zu schalten
- oder die Verbindung standardmässig zu erlauben und es dem TrutzBox Administrator frei stellen, den angesteuerten Server zu sperren
Welche dieser beiden Alternativen gewünscht wird, wird durch den Schalter "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten", den Sie unter "Filter konfigurieren" finden, gesteuert. Standardmässig ist dieser Schalter so gesetzt, dass im Falle, dass die TrutzBox solche verschlüsselte Verbindungen nicht aufbrechen kann, der aufgerufene Server automatisch auf L10 gesetzt wird. Beim zweiten Versuch auf diesen Server zuzugreifen, wird das dann auch funktionieren. So ist die Administration der TrutzBox einfacher.
Sie können diesen Schalter auch deaktivieren. Dann müssen Sie aber jeden dieser verschlüsselten Zugriffe, die die TrutzBox nicht entschlüsseln kann, manuell auf L10 setzen. Das ist etwas sicherer, aber auch etwas höherer administrativen Aufwand.
Weitere Details hierzu sind im Handbuch im Kapitel "5.3 TrutzBox Filter" beschrieben:
https://wiki.trutzbox.de/view/Main_Page ... .AE_Filter.
Oder im Kompendium unter "Spezielle Security-Slider Einstellungen"
https://trutzbox.de/trutzbox/#support