UTM/APP/SSL-Interception: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 12. Februar 2026, 14:17 Uhr

Konfiguration der SSL-Interception im HTTP-Proxy

Letzte Anpassung zur Version: 14.1.2 (02.2026)

Neu:

Hinweis zu den aktuellen Zertifikats-Anforderungen hinzugefügt
Layout-Anpassung des User Interfaces (v14.1.1)

Aktualisierung zum Redesign des Webinterfaces

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.6.1 12.5 12.2 11.7

Bestandteil des HTTP-Proxys

notempty

Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt

Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt

HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!

Unsichere Zertifikate sollten dringend ausgetauscht werden!
Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung

Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus

OpenVPN

Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S)

Clientzertifikat bei S2S

ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten)

Mailrelay

Relaying "Zertifikat" (unter TLS Verschlüsselung als Server)

Reverse-Proxy

Einstellungen → SSL-Zertifikat

Webserver

Netzwerk → Serveinstellungen → Webserver → Zertifikat

HTTP-Proxy

SSL-Interception → CA-Zertifikat

SSL-Interception

Beschriftung	Wert	Beschreibung	Konfigurationsprofil / Globales Konf… bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Reiter SSL-Interception
Aktiviert:	Aus	Die SSL-Interception ist ausgeschaltet
	Nur Webfilter basiert	Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
	Immer	Aktiviert die SSL-Interception
SNI validieren: Nur im globalen Konfigurationsprofil Wird an zusätzliche Konfigurationsprofile vererbt	Ja	Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen. Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen. Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
Nicht erkannte Protokolle erlauben:	Ja	Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
CA-Zertifikat:	CA-SSL-Interception	Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen. Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten! notempty Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren! Unsichere Zertifikate sollten dringend ausgetauscht werden! Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256 BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 \| Kapitel 2.3: RSA-Verschlüsselung Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus Betroffene Anwendungen: OpenVPN Serverzertifikat bei Rolle als Server (Roadwarrior oder S2S) Clientzertifikat bei S2S ggf. per Userattribut als Client-Zertifikat festgelegtes Zertifikat (Authentifizierung → Benutzer → Benutzer bearbeiten) Mailrelay Relaying "Zertifikat" (unter TLS Verschlüsselung als Server) Reverse-Proxy Einstellungen → SSL-Zertifikat Webserver Netzwerk → Serveinstellungen → Webserver → Zertifikat HTTP-Proxy SSL-Interception → CA-Zertifikat
CA-Zertifikat:	Public-Key herunterladen	Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
Zertifikatsverifizierung: nicht bei Nur Webfilter basiert Nur im globalen Konfigurationsprofil Wird an zusätzliche Konfigurationsprofile vererbt	Ein	Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
Ausnahmen für SSL-Interception Ausnahmen für SSL-Interception nicht bei Nur Webfilter basiert
Aktiviert:	Aus	Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Neue Ausnahmen fügt man direkt im Eingabefeld ein. Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de" Regex-Ausnahmen gelten nicht für den transparenten Modus!
Ausnahmen mit SNI abgleichen: Verfügbar, wenn SNI validieren aktiv ist.	Aus	Wendet die Server Name Indication Validierung nur auf aktivierte Ausnahmen für SSL-Interception an.
Ausnahmen:	.\.ttt-point\.de Vordefiniert im Globalen Konfigurationsprofil: .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..*	Ausnahmen bestimmen, hier für ttt-point.de
Ausnahmen für Zertifikatsverifizierung Ausnahmen für Zertifikatsverifizierung nur bei aktivierter Zertifikatsverifizierung
Aktiviert:	Aus	Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

@@ Zeile 2: / Zeile 2: @@
 {{#vardefine:headerIcon| spicon-utm }}
+{{:UTM/APP/SSL-Interception.lang|Profil={{{Profil}}}}}
-{{var	| SSL-Interception
+{{var	| neu--Zertifikate-deprecated
-		| SSL-Interception
+		| Hinweis zu den [[#deprecated|aktuellen Zertifikats-Anforderungen]] hinzugefügt
-		| SSL-Interception }}
-{{var	| SSL-Interception--head
-		| Konfiguration der SSL-Interception im HTTP-Proxy
-		| Configuration of the SSL interception in the HTTP proxy }}
-{{var	| Anwendungen
-		| Anwendungen
-		| Applications }}
-{{var	| SSL-Interception--Bild
-		| UTM_v12.5.2_HTTP-Proxy_SSL-Interception.png
-		| UTM_v12.5.2_HTTP-Proxy_SSL-Interception-en.png }}
-{{var	| SSL-Interception--cap
-		| Reiter ''SSL-Interception''
-		| SSL Interception tab }}
-{{var	| CA--erstellen
-		| Anleitung zum Erstellen einer CA
-		| Instructions for creating a CA }}
-{{var	| CA--erstellen--desc
-		| Eine CA kann im Menü {{Menu|Authentifziernug|Zertifikate|CA|CA hinzufügen|+|x}} erstellt werden.<br>
-Die CA bekommt einen eindeutigen Namen, die Schlüssellänge ≥ 2048, eine Gültigkeitsdauer bis max 31.12.2037 und weitere Angaben, die das Zertifikat individualiseren.<br>
-Abschließen mit {{Button|Speichern}}
-		|  A CA can be created from the {{Menu|Authentication|Certificates|CA|Add CA|+|x}} menu.<br>
-The CA gets a unique name, the key length ≥ 2048, a validity period up to max 31.12.2037 and other information that individualize the certificate.<br>.
-Finish with {{Button|Save}} }}
-{{var	| Aktivierung
-		| Aktiviert die SSL-Interception
-		| Activates the SSL interception }}
-{{var	| Webfilter basiert
-		| Webfilter basiert:
-		| Webfilter based: }}
-{{var	| Webfilter basiert--desc
-		| Bei Aktivierung werden  lediglich vom Webfilter blockierte Verbindungen abgefangen.<br>
-Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
-		| When enabled, only connections blocked by the web filter are intercepted.<br>
-This avoids the problem that there are sites that do not tolerate an interruption of the encryption (e.g. banking software) without having to define an exception for it. }}
-{{var	| SNI validieren
-		| SNI validieren
-		| Validate SNI }}
-{{var	| SNI validieren--Hinweis
-		| Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
-		| This setting should only be considered as a last resort when it seems impossible to standardize the DNS settings between the HTTP proxy and the UTM clients. }}
-{{var	| SNI validieren--cap
-		| Nur verfügbar wenn ''Webfilter basiert'' aktiv
-		| Only available when "Webfilter-based" is active. }}
-{{var	| Nicht erkannte Protokolle erlauben
-		| Nicht erkannte Protokolle erlauben:
-		| Allow non identified protocols: }}
-{{var	| Nicht erkannte Protokolle erlauben--desc
-		| Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert
-		| If this switch is deactivated, unrecognized protocols are blocked }}
-{{var	| CA-Zertifikat
-		| CA-Zertifikat:
-		| CA-Certificate: }}
-{{var	| CA-Zertifikat--desc
-		| Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.<br>Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.
-		| Here, a CA must be selected that can re-encrypt the connection after decryption (and scanning).<br>The public key of the CA must be installed on all client computers that are to use SSL Interception. Download can be done here directly with {{ButtonD|Download public key}}. }}
-{{var	| Public-Key herunterladen
-		| Public-Key herunterladen
-		| Download public key }}
-{{var	| Public-Key herunterladen--desc
-		| Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
-		| The public key should be installed on the clients that are going to use SSL interception to avoid certificate errors. }}
-{{var	| Zertifikatsverifizierung
-		| Zertifikatsverifizierung:
-		| Peer verification: }}
-{{var	| Zertifikatsverifizierung--desc
-		| Sollte unbedingt aktiviert werden {{Alert}} Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
-		| This should definitely be enabled {{Alert}} With this, the HTTP proxy checks whether the certificate of the called page is trustworthy. Since the browser only sees the local certificate, a check by the browser is no longer possible. }}
-{{var	| Ausnahmen für SSL-Interception
-		| Ausnahmen für SSL-Interception
-		| Exceptions for SSL-Interception  }}
-{{var	| Ausnahmen für SSL-Interception--desc
-		| Es besteht die Möglichkeit Ausnahmen im  Format der [[UTM/APP/Regex | Regular Expressions]] zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner,  nicht auf Protokolle gefiltert. <br>Mit {{Button|+ Regex}} werden neue Ausnahmen hinzu gefügt. {{info| 1=Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de"}}
-		| It is possible to define exceptions in the format of [[UTM/APP/Regex | Regular Expressions]]. However, since only https can arrive here, it is not filtered for protocols, unlike the virus scanner. <br>With {{Button|+ Regex}} new exceptions are added. {{info| 1=So an exception for www.securepoint.de would be:&#10;.*\.securepoint\.de"}}  }}
-{{var	| Ausnahmen für Zertifikatsverifizierung
-		| Ausnahmen für Zertifikatsverifizierung
-		| Peer verification exceptions }}
-{{var	| Ausnahmen für Zertifikatsverifizierung--desc
-		| Hier können Ausnahmen für die Zertifikatsverifizierung im [[UTM/APP/Regex | Regex-Format]] hinzugefügt werden.
-		| Here exceptions for certificate verification in [[UTM/APP/Regex | regex format]] can be added. }}
-{{var	| Regex--Transparent--Hinweis
-		| Regex-Ausnahmen gelten nicht für den transparenten Modus!
-		| Regex exceptions do not apply to transparent mode! }}
-{{var	| Bestandteil des HTTP-Proxys
-		| Bestandteil des [[UTM/APP/HTTP_Proxy | HTTP-Proxys]]
-		| Part of the [[UTM/APP/HTTP_Proxy | HTTP-Proxy]] }}
-{{var	| SNI manipulieren--Hinweis
-		| Ohne {{hoover|SNI|Server Name Indication}} Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
-		| Without {{hoover|SNI|Server Name Indication}} validation, clients can manipulate SNI arbitrarily to bypass the web filter. }}
-{{var	| SNI in Ausnahmen
-		| SNI in den Ausnahmen validieren:
-		|  }}
-{{var	| SNI in Ausnahmen--cap
-		| Nur verfügbar, wenn ''Webfilter basiert'' '''nicht''' aktiv ist
-		|  }}
-{{var	| SNI in Ausnahmen--desc
-		| Wendet die {{hoover|SNI|Server Name Indication}} Validierung nur auf aktivierte {{ButtonAn|{{#var:ja}} }} {{KastenGrau|Ausnahmen für SSL-Interception}} an
 		|  }}
-{{var	| SNI in Ausnahmen--Hinweis
+</div><noinclude><div class="new_design"></div>__NOTOC__{{Select_lang}}
-		| Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
+{{Header|14.1.2|
-		|  }}
+* {{#var:neu--Zertifikate-deprecated}}
-{{var	| SNI validieren--desc
+* {{#var:neu--Designanpassung}} <small>(v14.1.1)</small>
-		| Bei Aktivierung {{ButtonAn|{{#var:ja}} }} wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft.<br>
+|vorher-ver=12.6.1
-Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. <br>Bei Nichtübereinstimmung wird die Verbindung geschlossen.
+|vorher=
-		|  }}
+* {{#var:neu--rwi}}
-{{var	| neu--SNI-Validierung
+|
-		| [[#SNI | SNI-Validierung]] ohne Webfilter
+[[UTM/APP/SSL-Interception_v12.6.1 | 12.6.1]]
-		| [[#SNI | SNI validation]] without webfilter }}
+[[UTM/APP/SSL-Interception_v12.5 | 12.5]]
+[[UTM/APP/SSL-Interception_v12.2 | 12.2]]
-</div><noinclude>__NOTOC__{{Select_lang}}
-{{Header|12.5.2|
-* {{#var:neu--SNI-Validierung}}
-|[[UTM/APP/SSL-Interception_v12.2 | 12.2]]
 [[UTM/APP/HTTP_Proxy-Transparenter_Modus_v11.7 | 11.7]]
-| {{Menu|{{#var:Anwendungen}}|HTTP-Proxy|SSL-Interception}}
+| {{Menu-UTM|{{#var:Anwendungen}}|HTTP-Proxy|SSL-Interception}}
-| display={{#var:SSL-Interception}} | head={{#var:SSL-Interception--head}}
 }}
 {{#var:Bestandteil des HTTP-Proxys}}
+----
+<div class="Einrücken"><span id=deprecated><p>{{Zertifikate-deprecated}}</p></span></div>
-{{h3| {{#var:SSL-Interception}} | {{Reiter| {{#var:SSL-Interception}} }} }}
+=== {{Reiter|SSL-Interception}} ===
 {| class="sptable2 pd5 zh1 Einrücken"
 |-
-! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="9" | {{Bild |  {{#var:SSL-Interception--Bild}}|{{#var:SSL-Interception--cap}} }}
+</noinclude>
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
+| class="Bild" rowspan="12" | {{Bild| {{#var:SSL-Interception--Bild}} |{{#var:SSL-Interception--cap}}||{{#var:Globales Konfigurationsprofil bearbeiten}}|{{#var:Anwendungen}}|HTTP-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
-</noinclude>
+| rowspan="3" | {{b|{{#var:Aktiviert}} }} || {{Button|{{#var:Aus}}|class=aktiv}} || {{#var:Aus--desc}}
-| {{b|{{#var:SSL-Interception}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Aktivierung}}
-| class="Bild {{#switch: {{{Abb}}}|true= |#default=none}}" rowspan="8" | {{Bild |  {{#var:SSL-Interception--Bild}}|{{#var:SSL-Interception--cap}} }} </includeonly>
 |-
-| {{b|{{#var:Webfilter basiert}} }} || {{ButtonAus|{{#var:nein}} }} || {{#var:Webfilter basiert--desc}}
+| {{Button|{{#var:Nur Webfilter basiert}}|class=aktiv}} || {{#var:Nur Webfilter basiert--desc}}
 |-
-| <span id="SNI"></span>{{b|{{#var:SNI validieren}} }}<br><small>{{#var:SNI validieren--cap}}</small> || {{ButtonAus| {{#var:nein}} }} || {{#var:SNI validieren--desc}}
+| {{Button|{{#var:Immer}}|class=aktiv}} || {{#var:Immer--desc}}
-<li class="list--element__alert list--element__hint">{{#var:SNI manipulieren--Hinweis}}</li>
-<li class="list--element__alert list--element__hint">{{#var:SNI validieren--Hinweis}}</li>
-<li class="list--element__alert list--element__warning">{{#var:SNI in Ausnahmen--Hinweis}}</li>
 |-
-| {{b|{{#var:SNI in Ausnahmen}} }}{{Hinweis-box|{{#var:neu ab}} v12.5.2|gr|12.5.2|status=neu}} <br><small>{{#var:SNI in Ausnahmen--cap}}</small> || {{ButtonAus|{{#var:nein}} }} || {{#var:SNI in Ausnahmen--desc}}
+| {{b|{{#var:SNI validieren}}:|class={{#var:lokal}} }}<br><small>{{#var:Globaler Hinweis}}</small> || {{ButtonAn|{{#var:Ja}}|class={{#var:lokal}} }} || <span class="{{#var:display nonlokal}}">{{#var:SNI validieren--desc}}<br> {{#var:SNI validieren-Hinweis}}</span>
 |-
-| {{b|{{#var:Nicht erkannte Protokolle erlauben}} }} || {{ButtonAn|{{#var:ja}} }} || {{#var:Nicht erkannte Protokolle erlauben--desc}}
+| {{b|{{#var:Nicht erkannte Protokolle erlauben}}:}} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Nicht erkannte Protokolle erlauben--desc}}
 |-
-| rowspan="2" | {{b|{{#var:CA-Zertifikat}} }} || {{Button|CA-SSL-Interception|dr}} || {{#var:CA-Zertifikat--desc}}
+| rowspan="2" | {{b|{{#var:CA-Zertifikat}}:}} || {{ic|CA-SSL-Interception|dr|class=available}} || {{#var:CA-Zertifikat--desc}}<p>{{Zertifikate-deprecated|1=info}}</p>
 |-
 | {{Button|{{#var:Public-Key herunterladen}}|d}} || {{#var:Public-Key herunterladen--desc}}
 |-
-| {{b|{{#var:Zertifikatsverifizierung}} }} || {{ButtonAus|{{#var:aus}} }} || {{#var:Zertifikatsverifizierung--desc}}
+| {{b|{{#var:Zertifikatsverifizierung}}:|class={{#var:lokal}} }}<br> <small>  <span class="{{#var:lokal}}">{{#var:nicht bei Nur Webfilter basiert}}</span><br>{{#var:Globaler Hinweis}}</small> || {{ButtonAn|{{#var:Ein}} |class={{#var:lokal}} }} || <span class="{{#var:display nonlokal}}"> {{#var:Zertifikatsverifizierung--desc}} </span>
+|- class=noborder
+| colspan=3 |<br>{{h-4 | {{#var:Ausnahmen für SSL-Interception}} | {{Reiter| {{#var:Ausnahmen für SSL-Interception}} }} }}<br><small>{{#var:nicht bei Nur Webfilter basiert}}</small>
+|-
+|  {{b|{{#var:Aktiviert}} }} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen für SSL-Interception--desc}} <li class="list--element__alert list--element__warning">{{#var:Regex--Transparent--Hinweis}}</li>
+|-
+| {{b|{{#var:Ausnahmen mit SNI abgleichen}}:}} <br><small>{{#var:Ausnahmen mit SNI abgleichen--cap}}</small> || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen mit SNI abgleichen--desc}}
 |-
-| {{KastenGrau|{{#var:Ausnahmen für SSL-Interception}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Ausnahmen für SSL-Interception--desc}}<li class="list--element__alert list--element__warning">{{#var:Regex--Transparent--Hinweis}}</li>
+| {{b|{{#var:Ausnahmen}}:}} || {{cb|<nowiki>.*\.ttt-point\.de</nowiki>|-|-}}<br><small>{{#var:Vordefiniert im Globalen Konfigurationsprofil}}</small><br>{{cb|<nowiki>.*\.ikarus\.at</nowiki>|-|-}}{{cb|<nowiki>.*\.mailsecurity\.at</nowiki>|-|-}} {{cb|<nowiki>.*91\.212\.136\..*</nowiki>|-|-}} || {{#var:Ausnahmen--desc}}
+|- class=noborder
+| colspan=3 |<br>{{h-4| {{#var:Ausnahmen für Zertifikatsverifizierung}} | {{Reiter| {{#var:Ausnahmen für Zertifikatsverifizierung}} }} }}<br><small>{{#var:nur bei aktivierter Zertifikatsverifizierung}}</small>
 |-
-| {{KastenGrau| {{#var:Ausnahmen für Zertifikatsverifizierung}} }} || {{ButtonAus|Aus}} || {{#var:Ausnahmen für Zertifikatsverifizierung--desc}}
+|  {{b|{{#var:Aktiviert}} }} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen für Zertifikatsverifizierung--desc}}
 <noinclude>
 |}
 </noinclude>