https host not found zertifikat error

Guten Tag meine Damen und Herren,

bitte entschuldigen Sie falls diese Frage unnötig ist, jedoch habe ich daran herum gewerkelt und komme zu keinem Ergebniss.

Ich habe das Root-Zertifikat unserer Windows PKI in Web Protection -> Filteroptionen -> HTTPS-CAs hochgeladen.

Somit werden auch die automatisch generierten Websites Zertifiziert. Jedoch aber nur geblockte Seiten also "https://www.verboteneseite.de" oder "http://www.verboteneseite.de"

So funktioniert es auch bei http Seiten die nicht gefunden werden wie "http://www.hirn.de".

Sobald ich aber versuche "https://www.hirn.de" aufzurufen ("www.hirn.de" ist nicht findbar) bei komme ich von meinem Browser eine Zertifikats Warnung.

Natürlich habe ich mir dieses angesehen und mit den anderen verglichen, aber für mein ungeschultes Auge sehen diese erstmal gleich aus.

Die Sophos wirft mir das ins log:

utm-sophos httpproxy[11646]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="172.16.240.10" dstip="" user="user" group="u_group" ad_domain="domain" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffSchler (u_group)" size="0" request="0xc74c2600" url="https://www.hirn.de/" referer="" error="Host not found" authtime="39" dnstime="83115" cattime="47604" avscantime="0" fullreqtime="359561" device="1" auth="2" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

 

Über hilfe würde ich mich sehr freuen.

MfG

Rorscha

  • The proxy root needs to be deployed to your desktops.  

    For block and warn pages, UTM needs to impersonate the remote site.  If the url is https, the UTM root certificate is needed for the impersonation to work.

    The only alternative to this design would be for UTM to drop the packet.   After 2 minutes, the browser will time out and the user will be mystified.   If you are blocking web ads, the time out will repeat for each blocked page element.

    The UTM design is much better.    On Windows, it is easy to deploy the root certificate using Group Policy.

  • Hallo Rorscha,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    dstip="" [...] error="Host not found" tells me that you might have a problem with DNS.  How does your configuration compare to DNS best practice?

    Also, say whether you're using Transparent mode or if your browser is explicitly using the UTM as a proxy (Standard mode applies if so even if the Profile is not in Standard mode).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hey Bob,

    unsere UTM läuft im Standartmodus.

    Die DNS Einstellungen wurden so getroffen, wie es in dem Artikel beschrieben ist: DNS best practice.

    Mit der Aussnahme, dass der SMTP ausgeschaltet ist und wie trotzdem nicht den DNS des ISPs nehmen. Ich traue unserem ISP nicht so richtig Indifferent

    Für mich scheint es auch nicht am DNS zu liegen, erstens bekomme ich keine Time out fehler, die nicht selbst verursacht waren, und alles was auf zu lösen ist wird auch aufgelöst.

    Das beschriebene Problem tritt auch wirklich nur auf, wenn ich eine nicht existierende https Seite aufrufen möchte, eine Verbotene https Seite funktioniert.

    Ich habe die Zertifikate verteilt, die ich von der UTM bekommen habe und als Endpoint Cert keines generieren lassen sondern ein CA aus unserer Windows PKI.

     

    Danke für die Hilfe im vorraus

    MfG Rorscha

  • In reply to Rorscha:

    Just confirming that you distributed the CA that you downloaded from here:

    If you still get the statuscode="502" block, the first thing to try is an Exception for the site for antivirus.  If that doesn't work, you must change the browser's Proxy Settings to skip the proxy for that FQDN.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • I also just noticed from your original post that the browser was Firefox.   Firefox does not use the system certificate store, it maintains one for each user.   if the user logs into Firefox, this certificate can move with them from one computer to the next.   You need to get the UTM root certificate into each user's certificate store.   PolicyPak is an extra-cost product, but it is the easiest way of getting this done.

    I think Firefox has plans to allow use of the system certificate store, but it would still be a user-specific configuration step to turn this mode on.  Last I remember it did not seem to be an available feature.

    You can also get certificate errors in the browser simply because the remote server is not configured correctly

    To review different configuration scenarios, and their requirements:

    • HTTPS Inspection OFF, https-enabled web page is blocked or warned by UTM:
         UTM Web Proxy Root certificate must be distributed to desktop devices

    • HTTPS Inspection ON, any https-enabled web page is handled by UTM:
        UTM Web Proxy Root certificate must be distributed to desktop devices.

    • HTTPS Inspection OFF, UTM Allows the web  page but the remote server has a certificate error:
         Browser will display a warning page.   Some browsers will allow user to override, some will not.  UTM is not involved

    • HTTPS Inspection ON, remote server certificate error, no exception configured:
         UTM will display a certificate block page, with an option for override (Admin credentials required)

    • HTTPS Inspection ON, remote server certificate error, certificate exception configured:   
         UTM will ignore the certificate problem, user will not be aware of the problem because the page will display normally.

     

    Some related issues:

    • Chrome has a feature to attempt HTTPS whenever possible, and there a lot of cloud-hosted servers that have HTTP/443 enabled even though the site was never intended to be used for https.   These will of course cause a certificate error.   Using a different browser might allow you to use the site in http mode.   I do not know how to change Chrome behavior, other than a Chrome extension that I have seen advertised but never used and cannot recommend.

    • Some server owners forget to install the intermediate certificate along with the identity certificate.   Browsers will work around the error, but UTM with HTTPS inspection does not implement the workaround.   The best solution is to obtain the intermediate certificate and load it into UTM as a root certificate.

    • SSLLABS.com has a comprehensive tool for testing whether a remote server has https configured correctly and securely.   Most certificate vendors have a tool as well, usually these are simpler and quicker.   I always use one of these tools before creating an exception for a certificate problem.
  • In reply to BAlfson:

    Hey Bob,

    ich habe auf dem von Ihnen gezeigtem Bild ein eigenes Zertifikat hochgeladen, welches auch an alle Rechner per GPO verteilt wurde. Aus Testzwecken habe ich dieses auch heruntergeladen und dieses verteilt. Das Problem besteht weiter hin. 

     

    Ich glaube das Problem wurde noch nicht richtig verstanden. Es geht nicht um eine spezifische Seite, sondern um generell nicht gefundene Seiten die per "https://" aufgerufen wird.

    Also wenn ich die Seite https://www.9feh92g39f3bv2978g.de aufrufen möchte bekomme ich eine Zertifikatswarnung. Diese bekomme ich in jedem Browser. Wenn ich die Warnung ignoriere komme ich auf die Sophos "host not found" Seite. Das Zertifikat, welches die Warnung verursacht sieht wie folgt aus:

      

     

    Danke für die Hilfe

    MfG

    Rorscha

  • In reply to Rorscha:

    I'm confused.  There is no such domain as 9feh92g39f3bv2978g.de.  The picture of the certificate looks like it's open in a Windows app.  Are we talking about Webserver Protection or Web Filtering?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Also,

    mein Problem ist, wenn ich eine Seite aufrufen möchte die nicht existiert, aus zufall oder sonst einem Grund, dann bekomme ich auch die Sophos "Host not found" error page.

    Tue passiert mir die jedoch bei einer nicht existierenden https Seite, so bekomme ich ein Zertifikats fehler. Der Screenshot oben zeigt das Zertifikat, welches ich als Ausnahme eintragen müsste, um dann auf die https "Host not found" Seite zu gelangen.

    Und wie gesagt ich habe das Zertifikat aus unserer Windows PKI welches ich dann in der Sophos hochgeladen habe.

     

    MfG

    Rorscha