Waarom wordt mijn site als onveilig gemarkeerd door KPN Extra Veilig Internet?
Voor een klant hebben wij een site ontwikkeld dat staat op h150quiz.com
Als zij deze site via hun netwerk van KPN met Extra Veilig Internet bekijken wordt aangegeven dat het certificaat niet geldig is. Het gaat om een certificaat van Lets Encrypt. Ik heb de klant andere sites van ons met Lets Encrypt laten bezoeken en die mogen wel bezocht worden door KPN.
Vervolgens wordt, als de klant aangeeft toch te willen doorgaan, aangegeven dat het SSL certicicaat niet van Lets Encrypt is, maar van Fortinet. Iets wat wij niet geïnstalleerd hebben, maar vast wordt vervangen door de dienst van KPN.
Kun jij mij aangeven waarom h150quiz.com als onveilig wordt gemarkeerd door KPN Extra Veilig Internet?
Bladzijde 1 / 1
Valid: Not Before Thu, 09 Nov 2023 09:35:17 GMT
Was je wellicht iets te vroeg met het opvragen van de website? Of zit er wellicht nog een ongecertificeerde versie in de cache?
Het certificaat is net nieuw, dat kan soms problemen geven als je de site al eerder had bezocht.
Nee helaas. Ik heb het certificaat vandaag opnieuw aangevraagd, voor de zekerheid. Maar het probleem speelt al vanaf gisteren.
Het domein is ook nieuw aangevraagd (8 november) en ook niet eerder gebruikt (voor spam of iets dergelijks).
Ik heb ook de klant de DNS laten flushen van de laptop. Niet van de router, want daar kan ze helaas niet bij.
Het vreemde is ook dat er bij ons Lets Encrypt staat bij het certificaat en bij haar staat er Fortinet.
Geen idee waar het misgaat, maar het is wel alleen bij deze klant. We hebben via meer dan 10 andere providers (en ook KPN) getest en daar werkt het prima.
Als er bij de klant Fortinet staat (heb je daar ooit eerder een certificaat besteld?), dan is daar iets niet goed.
DNS flushen helpt helaas niet, het gaat om wat de browser in de cache houdt, inclusief de certificaat-informatie. Je zou kunnen proberen om bij de klant een andere browser te gebruiken die nog niet eerder gebruikt is om die website te bezoeken (Edge of Firefox, eventueel downloaden). Kijken wat dat oplevert.
De klant heeft op meerdere browsers gekeken en krijgt dezelfde melding:
Ik denk ook niet dat het met de browser te maken heeft, maar met KPN Extra Veilig Internet, die een extra dienst via de modem levert. Zoals er op de site van KPN staat:
KPN Extra Veilig Internet beschermt alle, met je KPN modem, verbonden apparaten door onveilige websites te blokkeren.
Zodra de klant van de wifi afgaat (bijvoorbeeld via 4G) kan ze er wel gewoon bij en krijgt ze geen melding een onveilig certificaat.
De issue en renewal date van het ‘foute’ Fortinet certificaat zijn exact hetzelfde als die van Lets Encrypt.
Fortinet
Lets Encrypt
Dus het lijkt wel of KPN het certificaat vervangt.
PS. Bij andere websites (die weijook hosten en ook Lets Encrypt gebruiken) heeft dit probleem niet.
Dat is vreemd en het lijkt inderdaad erop dat KPN-Veilig ertussen is gaan zitten.
Ben benieuwd wat het antwoord van KPN / F-Secure hierop is...
Klopt het dat er voor die site gisteren wel alleen een Fortinet certificaat was?
Klopt het dat er voor die site gisteren wel alleen een Fortinet certificaat was?
Dat is me ook nog onduidelijk, dat had ik wel gevraagd. Te zien aan het vertificaat was die ook een dag eerder aangevraagd. Grote kans dat die nog in de cache van KPN-Veilig zit.
Nope, het domein is op 30-10 j.l. gekocht. Daarvoor stond er niets op en is mij ook niet bekend dat iemand anders h150quiz.com gebruikt heeft.
Gisteren is door ons onze server (met de site) gekoppeld en is ook meteen het SSL certificaat van Lets Encrypt gekoppeld voor dit domein.
Geen gekke dingen. En ook niet anders dan onze normale procedure. Wij hebben ook via meerdere omgevingen getest en wij ervaren geen enkel probleem met het huidige certificaat.
Het is wel de eerste site voor deze klant, en die gaat pas akkoord als het bij hun ook werkt. Dus ‘bij ons werkt het wel’ is niet genoeg ;-)
Samengevat : nee , we hebben niet eerst een Fortinet certificaat geinstalleerd
PS. Wel kan het zijn dat de klant het domein bezocht heeft in de tijd tussen het aanschaffen en nu, waardoor er een certificaat van de domeinboer (Hostnet) in de ‘cache’ zit. Maar welke cache dat dan is?
Hallo @benvr
Gebruikt die klant een Fortinet FortiGate firewall? Die zou zoiets kunnen doen om HTTPS verkeer te kunnen scannen. Dat zou dan ook verklaren waarom het via 4G wel goed gaat.
Heeft die klant ook problemen met sommige andere HTTPS websites of alleen met die van jullie?
Nee, niet dat de klant weet.
We hebben aan het eind van vandaag te horen gekregen dat ze de site nu wel kunnen bereiken. Dus ‘opgelost’. Maar hoe dit probleem nu ontstaan is zal voor mij wen raadsel blijven.
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.