Ein Proxy mit TLS-Terminierung ist für viele Dinge sinnvoll (Lastverteilung, Datenverkehr analysieren, usw.), aber nicht um Werbung an Endgeräten zu blockieren. Es gibt bewährte und effektive Methoden, um diese Inhalte zu blockieren - ohne die Verschlüsselung zwischen Webserver und Endgerät aufzubrechen.
Ist denn die „nachträgliche“ Verschlüsselung zwischen eBlocker und Browser gleichwertig mit der zwischen Webserver und eBlocker? Bleiben TLS-Version und Ciphern gleich oder wird etwas verändert?
Verwenden alle eBlocker das gleiche Zertifikat für die erneute Verschlüsselung oder ist das Zertifikat für jedes Gerät individuell?
Das spielt sich zwar alles „nur“ im Heimnetz ab, aber warum etwas ersetzen, was vorher gut war?
Wenn eine mögliche Verschlechterung kein Problem wäre, warum dann überhaupt im lokalen Heimnetz erneut verschlüsseln?
eBlocker kann durchaus eine brauchbare Alternative sein, aber dieser Proxy ist irgendwie überflüssig Wenn ich eBlocker verwenden würde, würde ich diese Funktion definitiv ausschalten.
Da ich kein ITler bin, kann ich jetzt nicht auf alles antworten, soviel aber geht:
Die vom eBlocker erstellten Zertifikate sind individuell und müssen zuerst auf jedem Gerät (und beim FF und TB auch in der Anwendung) installiert werden, welches den eBlocker nutzt.
Die erneute Verschlüsselung ergibt schon Sinn, wenn Du von außerhalb Deines Heimnetzes über den eBlocker ins Netz gehst.
Danke für die Antworten. Ja, das Importieren ist sowohl für das Betriebssystem als auch für jede Anwendung mit eigenem Zertifikatsspeicher notwendig. Bisher fand ich keinen Hinweis in der Dokumentation, ob das Zertifikat tatsächlich für jede eBlocker Installation einmalig ist. Es wird lediglich beschrieben, dass das Zertifikat erneuert werden soll, um seine Gültigkeitsdauer zu verlängern (hier) und dieser große Hinweis
As stated above, it is not recommended to enable eBlocker HTTPS if you have little or no computer/network knowledge. You are well protected by the DNS firewall even without HTTPS enabled.
Spannend bleibt die Frage, ob z.B. die sichere Verbindung zwischen Webserver und eBlocker (TLS 1.3 und starke Cipher*) dann mit einer schwächeren Verschlüsselung (z.B. TLS 1.2 und schwache Cipher*) zwischen eBlocker und Browser verschlüsselt wird.
* Details
Zwischen Client und Server wird immer die höchtmögliche „Stufe“ ausgehandelt. Wenn nun aber der eBlocker kein TLS 1.3 kann und/oder mehr bzw. veraltete Chiffren als ursprünglich verwendet werden, dann ist das ein Downgrade und schwächt die einst gute Verbindung.
Laut Dokumentation soll der eBlocker tatsächlich über DynDNS direkt aus dem Internet erreichbar gemacht werden: https://eblocker.org/de/ddns/. Grundsätzlich sollten (besonders für unerfahrende Benutzer) Geräte wie Pi-hole, eBlocker usw. nicht direkt im Netz sein und damit weltweit erreichbar. VPN ins Heimnetz wäre hier das Mittel der Wahl.
Zusammen mit der TLS-Terminierung, also der erneuten Verschlüsselung durch ein eBlocker Zertifikat bei dem nicht ganz klar ist, wie verschlüsselt wird, finde ich das äußerst fraglich
Habt Ihr Erfahrungen und Tipps die Ihr dazu Teilen könnt und möchtet ?
Sollte man lieber Alternativen wie pihole oder Adguard Home verwenden ?
Wenn ja, warum oder hat der eblocker auch vorteile ?
Wie schon im Thread erwähnt: ich nutze ihn schon sehr lange und bin zufrieden damit. Das Teil läuft einfach und wird weiterentwickelt. Meine Empfehlung hast Du.
PiHole und Adguard habe ich noch nie verwendet, weswegen ich dazu wenig vergleichendes sagen kann.
Wenn ich eBlocker verwenden würde, würde ich diese Funktion definitiv ausschalten.