Hallo Leutz,

Forefront TMG bietet eine ausgehende HTTPS-Ueberpruefung. Es koennen URL Ausnahmen konfiguriert werden. Wie ist das aber, wenn man nur die IP-Adressen als Ausnahmen konfigurieren moechte? Konkretes Beispiel war die Frage eines Besucher an meinem Stand, wie er Elster von der HTTPS-Ueberpruefung ausschliessen kann, da hier wohl nur IP-Adressen bekannt sind. In den Ausnahmen kann man ja nur URL-Sets konfigurieren, also sind IP-Adressen nicht zulaessig. Eine Antwort hatte ich nicht parat, ausser das DNS umzubiegen und mit gefakten DNS Name Mappings zu arbeiten.

Also kurzerhand die Frage an Experten gestellt 🙂 und kurze Zeit spaeter kam die Antwort von Jim Harrison:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.

TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to.

The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

 Gruss Marc