Webdirect, SSL, mobiel gebruik en KPN Experiabox?

[Marsau]

Beste mensen,

Ik heb een hardnekkig en obscuur probleem. Hoop dat de SSL goeroes onder ons hun licht kunnen laten schijnen op dit netelige issue.

 

We hebben FMS16 met SLL van Comodo Ext, Webdirect en een boel mobiele gebruikers. Gaat goed, behalve als men mobiel inlogt via Wifi in combinatie met KPN Experia box (voor zover wij het nu kunnen vaststellen). Vanaf een desktop en Webdirect: geen probleem.

 

Gebruik je Android, iOS, dan krijg je een fout melding en wordt de connectie geweigerd.

 

'ERR_SLL_PROTOCOL_ERROR' zegt Chrome, en Safari zegt:

'An SSL error has occurred and a secure connection to the server cannot be made.' En daaronder: NSURLErrorDomain. Opnieuw proberen heeft geen zin

 

Maar waarom? We hebben prachtige groene connectie via desktop Webdirect.

 

Hebben jullie een diagnose, en liever nog: een fix?

 

Mars

[menno]

Het probleem treedt op met web-direct, vanaf een mobiel apparaat in een wifi-netwerk met een KPN-experiabox. Correct? Go gaat wél goed, of ook niet? Stuur me anders even een link om te testen (via een PB of direct per email). Ik heb op mijn bedrijf namelijk ook een KPN experiabox (met daarachter nóg een firewall), dus ben benieuwd of het dan ook mis gaat.

[Marsau]

De stilte onder de goeroes maakt dit probleem nog duisterder...

[Banach]

Tsja, deze:

Gaat goed, behalve als men mobiel inlogt via Wifi in combinatie met KPN Experia box

begrijp ik dus niet goed. Maakt men dan connectie via WAN of via LAN?

[Peter Wagemans]

="Wifi in combinatie met KPN Experia box"

 

Een belangrijke stap in SSL is de SSL Authority checken voor de web site host. Als er geen connectie kan gemaakt worden met comodo, of als je geen DNS naam gebruikt die gecoverd door het certificaat, dan loopt het mis. Ik ben geen SSL guru, maar dat is de eerste check die je denk ik moet doen.

 

Het gebeurt me regelmatig dat het slot icoontje oranje staat bij FileMaker, terwijl ik compleet op dezelfde manier als anders naar een SSL FMS connect.

Ik denk dat SSL authorities graag veel geld verdienen met gebakken lucht te verkopen, maar af en toe in gebreke blijven qua service.

Dat kan OOK een reden zijn.

[Marsau]

Dank je, Peter.

 

Het rare is dat het issue alleen mobile gebruikers treft. Ben er nog steeds niet uit.

 

M

[Marsau]

Tsja, deze:

Gaat goed, behalve als men mobiel inlogt via Wifi in combinatie met KPN Experia box

begrijp ik dus niet goed. Maakt men dan connectie via WAN of via LAN?

 

LAN Wifi netwerken verzorgd door KPN. Weet even niet hoe het zit met de KPN hotspots.

[Marsau]

Issue is niet opgelost. In specifieke situaties is verbinding met de server totaal onmogelijk, in andere situaties is er geen probleem. 

Wel nieuwe informatie:

- DNS naam in relatie klopt (cf. opmerking Peter);

- niet per se mobiele gebruikers; ook reguliere gebruikers, niet platform specifiek;

- vermoedelijk wel in relatie tot het gebruik van KPN internet.

Er is nu twijfel over de compatibiliteit van het certificaat (COMODO EV SSL). Maar voor ik deze vervang - bij gebrek aan inzicht een trial & error aanpak - zou ik nog wel een analyse-poging willen wagen.

 

[menno]

Mars, kan je een schets maken van hoe je fmserver in het netwerk hangt en hoe die aan internet is gekoppeld? Gebruik je toevallig een reverse-proxy?

[menno]

reverse-proxy (RP) en webdirect (WD) gaan namelijk niet samen en ook data-api (DA) weigert dienst (dus ipv DA ik gebruik RestFM, die werkt probleemloos via een RP)

[Marsau]

De server is een VPS bij TransIP met Microsoft Windows Server 2016 Standard geïnstalleerd. Reverse proxy is niet aan de orde, voor zover ik weet. Maar check dit nog voor de zekerheid.

Heb het probleem ook met Filemaker support besproken: maar de analyse blijft ook hangen. Men constateert gewoon een werkende verbinding en een goed certificaat. 

[Marsau]

Beste mensen,

het probleem speelt nog steeds. Er zijn weer in paar stappen gezet in het analyse-proces, mede met hulp van Menno.

Het wordt nog waziger: 

- het gaat niet per se mis met KPN of Experia box: het kan ook goed gaan.

- ook niet per se alleen bij mobiel gebruik.

- vervanging van het SSL-certificaat door een andere leverde niets op.

- in het eindeloze gepuzzel bij de klant heeft iemand uitgevonden dat als een apparaat verbinding maakt via IPv6 het SSL probleem zicht voordoet.

 

Hun redenering is nu: forceer alle connecties naar de server door IPv6 te blokkeren. Want via IPv4 werkt alles probleemloos.

Los van de vraag hoe ik dat moet doen (zou ik moeten uitzoeken) is de vraag of deze fix voor een onbegrepen probleem juist is - en geen nieuwe problemen gaat oproepen. Graag jullie inzichten.