Problemdiagnose
Wenn Tresorits Desktop- und Mobil-Clients auf ein Problem mit Ihrer Internetverbindung hinweisen, aber diese dennoch einwandfrei in Ihrem Browser und anderen Anwendungen zu funktionieren scheint, gibt es mehrere Schritte, die Sie befolgen können, um das Problem zu beheben:
- Checken Sie die Servicestatusseite, um herauszufinden, ob seitens Tresorits Probleme vorliegen
Wenn ein Vorfall die Verfügbarkeit unseres Service beeinträchtigt, werden wir als Erstes die Statusseite aktualisieren. Im unwahrscheinlichen Fall einer Serviceunterbrechung können Sie Ihrerseits wahrscheinlich nichts unternehmen, um das Problem eigenhändig zu lösen. Wir werden keine Bemühungen scheuen, um den Service wiederherzustellen – schauen Sie daher regelmäßig auf der Statusseite vorbei, um über Updates auf dem Laufenden zu bleiben. - Falls Sie einen Proxy-Server nutzen, überprüfen Sie, ob die Proxy-Einstellungen in Tresorit korrekt sind
Hier bei Tresorit geben wir unser Bestes, damit die korrekte Konfiguration anhand der von Ihrem Browser verwendeten Proxy-Einstellungen ermittelt wird. Dennoch kann dies fehlschlagen. Sie können die Proxy-Einstellungen manuell konfigurieren (und deren Verwendung sogar gänzlich deaktivieren), sowohl bevor oder nachdem Sie sich anmelden:
- Einstellungen
- Anmeldefenster
- Öffnen Sie Ihre Tresorit Desktop-App.
- Gehen Sie auf Einstellungen.
- Wählen Sie Netzwerkaus.
- Unter Proxy markieren Sie Manuell.
- Ändern Sie die Proxy-Einstellungen im Pop-up-Fenster. In diesem Fenster können Sie HTTP, Socks 4 oder Socks 5 Proxy konfigurieren. Wenn der Proxy Authentifizierung braucht, setzen Sie hier einen Benutzernamen und ein Kennwort.
- Klicken Sie auf Proxy einstellen, wenn Sie fertig sind.
- Klicken Sie auf Proxy öffnen.
- Wählen Sie Manuell aus.
- Geben Sie Ihre Proxy-Konfiguration ein.
- Klicken Sie auf Proxy einstellen, wenn Sie fertig sind.
- Stellen Sie sicher, dass ausgehende Verbindungen zugelassen sind
Überprüfen Sie, ob Tresorit funktioniert, wenn Firewall, Angrifferkennungssysteme und Antivirenprogramme deaktiviert sind. Ist dies der Fall, müssen Sie diese höchstwahrscheinlich so konfigurieren, dass sie Tresorit gestatten, eine Verbindung zu Fernservern herzustellen. Im nachstehenden Abschnitt finden Sie eine detaillierte Aufstellung von IP-Bereichen und Hosts, die Sie zu Ihrer Allowlist hinzufügen sollten. Für die meisten endverbrauchergerechten Firewall-Programme genügt es jedoch, einfach zuzulassen, dass die Anwendung ausgehende Verbindungen herstellen darf. - Deaktivieren Sie das Abfangen via TLS und ähnliche Funktionen
Tresorit ist nicht kompatibel mit Firewalls und Sicherheitssoftware, die TLS-Protokolle anwenden. Wir führen unsere eigene Liste von vertrauenswürdigen Zertifizierungsstellen und daher sind firmeninterne Zertifizierungsstellen, die in den Zertifikatspeicher des Systems importiert werden, damit derartige Sicherheitssoftware funktionieren kann, nicht wirksam. Unsere Desktop- und Mobil-Clients verwenden eine gegenseitige TLS-Authentifizierung, wenn sie mit unseren Servern kommunizieren. Selbst wenn also derartige Zertifikate berücksichtigt würden, wäre ein Abfangen nicht möglich. Dies ist absichtlich so. Falls Sie aus irgendeinem Grund die TLS-Protokolle nicht deaktivieren können, können Sie immer noch unseren Webclient nutzen – vorausgesetzt, dass die Software nicht die tatsächlichen Anforderungen und Antworten modifiziert. - Kontaktieren Sie unser Support-Team, um Hilfe zu erhalten
Wenn es scheint, dass alles korrekt eingerichtet wurde, aber das Problem dennoch weiterhin besteht, helfen wir Ihnen gerne weiter.
Firewall-Einstellungen
Um Ihnen dabei zu helfen, Firewall-Anwendungen in Firmennetzwerken (und sogar bestimmte Firewall-Software) zu konfigurieren, haben wir eine Liste von IP-Bereichen und Hosts für Sie zusammengestellt, die Sie zu Ihrer Allowlist hinzufügen müssen, damit Tresorit eine Verbindung zu unseren Servern herstellen kann.
📝 Anmerkung:Wir behalten uns vor, an den hier veröffentlichten Listen Änderungen ohne Vorankündigung vorzunehmen.
Wir haben diese Listen als UTF-8-kodierte CSV-Dateien herausgegeben. Ihre URL ist stabil und kann von Skripts verwendet werden, um automatisch Updates an Firewall-Einstellungen vorzunehmen. Die zweite Spalte beinhaltet eine Aufstellung von Tags, die angeben, welche Bestandteile unseres Service verlangen, dass ein bestimmter Host oder IP-Bereich zugelassen wird.
Unsere Anwendungen stellen eine Verbindung zu diesen Servern über die folgenden TCP-Ports her:
- HTTPS (443) – wird für sämtliche Kommunikation zwischen der Anwendung und unseren Servern genutzt
- HTTP (80) – wird zum Abrufen von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) verwendet
Tresorits Server werden in Microsoft Azure gehostet. Viele der Hostnamen in der Liste beziehen sich auf Services, die keine feste IP-Adresse haben, weshalb die Liste der IP-Bereiche relativ umfangreich ist. Sie wird zusammengestellt, indem die von Microsoft veröffentlichten IP-Bereiche nach bestimmten Produkten und Regionen gefiltert werden. Daher wird sie auch IP-Adressen beinhalten, die anderen Mandaten von Microsofts öffentlicher Cloud gehören. Wenn es Ihnen möglich ist, würden wir Ihnen empfehlen, dass Sie eine auf Hostnamen basierende Filterung einrichten (oder eine Kombination aus auf IP und Hostnamen basierenden Filterungen). Sie können sich darauf verlassen, dass die von Tresorits Clients etablierten HTTPS-Verbindungen Servernamenanzeige verwenden.
Wenn Sie Tresorit für die Nutzung von Single Sign-On (SSO) konfiguriert haben, müssen Sie zusätzlich sicherstellen, dass ausgehende Verbindungen zu Ihrem Identitätsanbieter zugelassen sind. Kontaktieren Sie Ihren Identitätsanbieter für weitere Informationen.
Häufig gestellte Fragen
Warum verwendet Tresorit HTTP? Ist das nicht unsicher?
Fast die gesamte Kommunikation zwischen unseren Clients und Servern nutzt HTTPS und wird somit durch TLS gesichert. Dabei gibt es nur eine nennenswerte Ausnahme: Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) werden über HTTP abgerufen. Diese Listen sind bereits von der Zertifizierungsstelle genehmigt und somit wird deren Abrufen mittels HTTP tatsächlich als mit den Standards konformes Verhalten angesehen. Für mehr Informationen zum Grund für diese Verfahrensweise lesen Sie bitte den Abschnitt „Security Considerations“ von RFC 5280.
Anmerkung: Tresorits Ende-zu-Ende-verschlüsseltes Sicherheitsmodell geht nicht davon aus, dass TLS sicher ist: Ihre über den verschlüsselten Kanal übertragenen Daten sind bereits selbst verschlüsselt – und zwar mit Schlüsseln, auf die nur Sie und die von Ihnen befugten Personen, mit denen Sie Ihre Daten teilen möchten, Zugriff haben.
Warum verhindert gegenseitige TLS-Authentifizierung das Abfangen via TLS?
Firewalls, die ein Abfangen via TLS ausführen, brechen TLS-Verbindungen in zwei Hälften auf: Clients, die eine Verbindung durch diese Firewall hindurch erstellen, stellen tatsächlich TLS-Verbindungen mit der Firewall her, was deren Zertifikat validiert (dies wird gewöhnlich von einer firmeninternen Zertifizierungsstelle erstellt, die der Kontrolle der die Firewall betreibenden Organisation unterliegt) und die Firewall stellt ihre eigenen Verbindungen zum Server her. Gegenseitige TLS-Authentifizierung hängt davon ab, dass der Client dem Server ein Client-Zertifikat präsentiert. Da jedoch keine direkte Vertrauensstellung zwischen dem Server und Client besteht, wenn die Verbindung abgefangen wurde, kann dies nicht erfolgen. Sämtliche vom Client präsentierte Zertifikate würden von der Firewall gesichtet werden, aber da die Firewall nicht über den privaten Schlüssel für das vom Client genutzte Zertifikat verfügt, kann sie diesen auch nicht dem Server am anderen Ende präsentieren.
Netzwerkverbindungsprüfer
Um Ihnen bei der Diagnose von Netzwerkfehlern (wie blockierte Verbindungen, Abfangen via TLS etc.) zu helfen, haben wir ein kleines Befehlszeilen-Hilfsprogramm entwickelt, mit dem Sie überprüfen können, ob Verbindungen zu den notwendigen Hosts hergestellt werden können:
Haben Sie weitere Fragen? Kontaktieren Sie uns!