Jugendschutzfilter

Wie kann eine Schule den Jugendschutzfilter aktivieren?

Zunächst einmal ist Voraussetzung, dass die Schule Kunde bei BelWü ist und einen Anschluss (Router) von BelWü für das pädagogische Netz hat.

Dann müssen der Schulserver oder Schulproxy oder ggf. die einzelnen PCs mit folgenden Einstellungen konfiguriert werden:

DNS-Server: 129.143.4.3

Falls Ihr Anschluss IPv6-fähig ist, können Sie auch die folgende IPv6-Adresse verwenden:

2001:7c0::53:3

Weitere Informationen siehe: www.belwue.de/angebot/dienste/jugendschutzfilter.html 

Wie kann man die Sperrliste ändern?

Der Filter wird von der Firma Brightcloud/Webroot gepflegt, auf deren Seite www.brightcloud.com/tools/url-ip-lookup.php  kann man überprüfen, in welcher Kategorie eine Seite gesperrt ist und ggf. das Entfernen der Seite aus der Kategorie beantragen. In dringenden Ausnahmefällen ist es auch möglich, mit einer E-Mail an jsf@belwue.de um ein permanentes Whitelisting einer Domain zu bitten.

Importieren des Wurzelzertifikats des BelWü-Jugendschutzfilters

Wenn Sie den BelWü-Jugendschutzfilter verwenden und eine mit https:// beginnende Adresse aufrufen, die vom Jugendschutzfilter gesperrt wird, so werden Sie eine Zertifikatswarnung erhalten, die in etwa besagt, dass das Zertifikat von einer nicht vertrauenswürdigen Stelle ausgestellt wurde.

Das liegt daran, dass Ihr Browser auf eine Sperr-Seite von uns geschickt wird, auf der wir kein offizielles Zertifikat zu dem aufgerufenen Namen hinterlegt haben - dies können wir nicht, da wir ja nicht der echte Betreiber des aufgerufenen Webservers sind, sondern Sie quasi auf einen "gefälschten" Webserver leiten, der die Sperrseite liefert. Wir liefern Zertifikate zurück, die wir mit einem eigenen Wurzelzertifikat signiert haben. Dieses ist in den Betriebssystemen bzw. Browsern aber nicht als offizielles Wurzelzertifikat installiert.

Da dies nur bei gesperrten Seiten passiert, ist das nicht weiter tragisch oder sicherheitskritisch, aber mit der Zeit sicherlich lästig. Sie können diese Meldungen vermeiden, indem Sie das Wurzelzertifikat des BelWü-Jugendschtzfilters von Hand importieren.

Sie können das Wurzelzertifikat hier herunterladen (das geht allerdings nur über den BelWü-Zugang, also beispielsweise aus dem Schulnetz):

Dieses Zertifikat speichern Sie sich am besten ab (z. B. unter "Downloads"), dann können Sie es in Ihren Browser oder für alle Anwendungen, die keinen eigenen Zertifikatsspeicher verwenden, in Ihr Betriebssystem importieren.

Hier folgen ein paar Anleitungen, wie dies gemacht werden kann:

  • Firefox

    • Gehen Sie im Firefox auf "Extras → Einstellungen → Datenschutz & Sicherheit" oder in anderen Firefox-Versionen auf "Erweitert → Zertifikate".
    • Dort den Reiter "Zertifizierungsstellen" auswählen.
    • Unter "Importieren" können Sie die Datei "jugendschutzfilter.crt", die Sie vorher (z. B. Unter "Downloads") abgespeichert haben, auswählen und importieren.
    • Firefox fragt Sie, für was das Zertifikat verwendet werden soll, wählen Sie aus: [x] Dieser CA vertrauen, um Websites zu identifizieren

  • Google Chrome

    • Gehen Sie in Google Chrome auf "Einstellungen → (unten:) Erweiterte Einstellungen anzeigen → Zertifikate verwalten → Zertifizierungsstellen".
    • Unter "Importieren" können Sie die Datei "jugendschutzfilter.crt", die Sie vorher (z. B. Unter "Downloads") abgespeichert haben, auswählen und importieren.
    • Chrome fragt Sie, für was das Zertifikat verwendet werden soll, wählen Sie aus: [x] Dieser CA vertrauen, um Websites zu identifizieren

  • Microsoft Internet Explorer

    • Internet Explorer starten und https://jsf.belwue.de/jugendschutzfilter.pem  aufrufen.
    • Der Internet Explorer fragt dann, ob er die Datei speichern oder öffnen soll.
    • Wählen Sie "Öffnen" und dann "Zertifikat installieren".
    • Folgen Sie den Anweisungen des Assistenten bis zur Meldung "Der Importvorgang war erfolgreich.".
    • Damit sollte das Zertifikat im Zertifikatsspeicher von Windows verankert sein.

  • Microsoft Windows (als Administrator)

    • Das Importieren des Zertifikats sollte nach Abspeichern der Datei jugendschutzfilter.pem auch mit folgendem Befehl (als Administrator in einer "Eingabeaufforderung") gehen: certutil -addstore -f "ROOT" jugendschutzfilter.pem

  • Safari (Apple)

    • Safari starten und https://jsf.belwue.de/jugendschutzfilter.pem  aufrufen. Safari speichert die Datei jugendschutzfilter.pem üblicherweise im Verzeichnis "Downloads" ab.
    • Starten Sie im "Finder" unter "Dienstprogramme" die "Schlüsselbundverwaltung".
    • Klicken Sie unten auf "+" und wählen Sie die Datei jugendschutzfilter.pem aus, die Sie voherher (z. B. unter "Downloads") abgespeichert haben, und wählen Sie "Öffnen".
    • Das Zertifikat wird nun ohne weiteren Kommentar importiert.

  • MacOS (als Administrator)

    • Systemweit für alle Benutzer lässt es sich vom Administrator folgendermassen erledigen:
    • Öffnen Sie ein Terminal und wechseln Sie in das Verzeichnis, wo Sie das Zertifikat jugendschutzfilter.crt abgelegt haben.
    • Geben Sie dort ein: sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain jugendschutzfilter.crt

  • Linux (als "root")

    • Laden Sie die Datei https://jsf.belwue.de/jugendschutzfilter.pem  herunter, z. B. mit wget.
    • Melden Sie sich als Benutzer "root" in Ihrem Linux an und rufen Sie auf einer Konsole oder in einem Terminal die folgenden Befehle auf:
    • Unter Ubuntu/Debian:
      • mv jugendschutzfilter.pem /usr/local/share/ca-certificates/
      • update-ca-certificates
    • Unter Redhat/CentOS:
      • mv jugendschutzfilter.pem /etc/pki/ca-trust/source/anchors/
      • yum install ca-certificates
      • update-ca-trust force-enable
      • update-ca-trust extract

  • Android

    • Rufen Sie einen Browser (Chrome, Android Browser, Opera - aber nicht Firefox) auf.
    • Öffnen Sie im Browser folgenden Link: https://jsf.belwue.de/jugendschutzfilter.crt .
    • Wählen Sie im Menü "Zertifikat benennen" einen Zertifikatsnamen, z. B. "Jugendschutzfilter".
    • Unter "Verwendung der Anmeldedaten" wählen Sie "VPN und Apps" aus.
    • Allgemein können Sie in Android Ihre CA-(Wurzel-)Zertifikate in der App "Einstellungen" und dort unter "Standort & Sicherheit → Verschlüsselung & Anmeldedaten" verwalten.

Liste von IP-Adressen bekannter DoH-Server

Folgende IP-Adressen sollten Sie in Ihrer Firewall sperren (oder durch uns auf Ihrem BelWü-Router sperren lassen), um die Umgehung des Filters durch Verwendung von DoH ("DNS over HTTPS") zu verhindern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit und kann sich immer wieder ändern:

  • 1.0.0.1
  • 1.1.1.1
  • 104.16.248.249
  • 104.16.249.249
  • 104.16.111.25
  • 104.16.112.25
  • 104.236.178.232
  • 104.28.0.106
  • 104.28.1.106
  • 108.61.201.119
  • 116.203.35.255
  • 116.203.70.156
  • 118.89.110.78
  • 136.144.215.158
  • 139.162.131.245
  • 139.59.48.222
  • 139.99.222.72
  • 146.112.41.2
  • 146.185.167.43
  • 149.112.112.10
  • 149.112.112.11
  • 149.112.112.112
  • 149.112.112.12
  • 149.112.112.9
  • 168.235.81.167
  • 174.138.29.175
  • 185.216.27.142
  • 185.228.168.10
  • 185.228.168.168
  • 185.228.168.9
  • 185.95.218.42
  • 185.95.218.43
  • 37.252.185.229
  • 45.32.253.116
  • 45.77.124.64
  • 45.90.28.0
  • 47.96.179.163
  • 8.8.4.4
  • 8.8.8.8
  • 9.9.9.10
  • 9.9.9.11
  • 9.9.9.12
  • 9.9.9.9

Wenn Ihr Anschluss IPv6-fähig ist, so sollten Sie zusätzlich die folgenden IPv6-Adressen sperren (lassen):

  • 2001:19f0:6001:146f:45:77:124:64
  • 2001:19f0:7001:1ded:5400:1ff:fe90:945b
  • 2001:19f0:7001:27a2:45:32:253:116
  • 2001:470:f324::45:77:124:64
  • 2001:470:ff0a::45:32:253:116
  • 2606:4700:4700::1001
  • 2606:4700:4700::1111
  • 2001:4860:4860::8844
  • 2001:4860:4860::8888
  • 2400:6180:0:d0::5f73:4001
  • 2604:180:f3::42
  • 2604:a880:1:20::51:f001
  • 2606:4700:30::681c:16a
  • 2606:4700:30::681c:6a
  • 2606:4700::6810:f8f9
  • 2606:4700::6810:f9f9
  • 2620:119:fc::2
  • 2620:fe::10
  • 2620:fe::11
  • 2620:fe::12
  • 2620:fe::9
  • 2620:fe::fe
  • 2620:fe::fe:10
  • 2620:fe::fe:11
  • 2620:fe::fe:12
  • 2620:fe::fe:9
  • 2a00:63c1:a:229::2
  • 2a01:4f8:1c1c:5e77::1
  • 2a01:4f8:1c1c:75b4::1
  • 2a01:7c8:d002:1ef:5054:ff:fe40:3703
  • 2a03:b0c0:0:1010::e9a:3001
  • 2a05:fc84::42
  • 2a05:fc84::43
  • 2a0a:e5c0:2:2::c8ff:fe68:bf48