This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https host not found zertifikat error

Guten Tag meine Damen und Herren,

bitte entschuldigen Sie falls diese Frage unnötig ist, jedoch habe ich daran herum gewerkelt und komme zu keinem Ergebniss.

Ich habe das Root-Zertifikat unserer Windows PKI in Web Protection -> Filteroptionen -> HTTPS-CAs hochgeladen.

Somit werden auch die automatisch generierten Websites Zertifiziert. Jedoch aber nur geblockte Seiten also "https://www.verboteneseite.de" oder "http://www.verboteneseite.de"

So funktioniert es auch bei http Seiten die nicht gefunden werden wie "http://www.hirn.de".

Sobald ich aber versuche "https://www.hirn.de" aufzurufen ("www.hirn.de" ist nicht findbar) bei komme ich von meinem Browser eine Zertifikats Warnung.

Natürlich habe ich mir dieses angesehen und mit den anderen verglichen, aber für mein ungeschultes Auge sehen diese erstmal gleich aus.

Die Sophos wirft mir das ins log:

utm-sophos httpproxy[11646]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="172.16.240.10" dstip="" user="user" group="u_group" ad_domain="domain" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffSchler (u_group)" size="0" request="0xc74c2600" url="https://www.hirn.de/" referer="" error="Host not found" authtime="39" dnstime="83115" cattime="47604" avscantime="0" fullreqtime="359561" device="1" auth="2" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

 

Über hilfe würde ich mich sehr freuen.

MfG

Rorscha



This thread was automatically locked due to age.
Parents
  • Hallo Rorscha,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    dstip="" [...] error="Host not found" tells me that you might have a problem with DNS.  How does your configuration compare to DNS best practice?

    Also, say whether you're using Transparent mode or if your browser is explicitly using the UTM as a proxy (Standard mode applies if so even if the Profile is not in Standard mode).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hey Bob,

    unsere UTM läuft im Standartmodus.

    Die DNS Einstellungen wurden so getroffen, wie es in dem Artikel beschrieben ist: DNS best practice.

    Mit der Aussnahme, dass der SMTP ausgeschaltet ist und wie trotzdem nicht den DNS des ISPs nehmen. Ich traue unserem ISP nicht so richtig [:|]

    Für mich scheint es auch nicht am DNS zu liegen, erstens bekomme ich keine Time out fehler, die nicht selbst verursacht waren, und alles was auf zu lösen ist wird auch aufgelöst.

    Das beschriebene Problem tritt auch wirklich nur auf, wenn ich eine nicht existierende https Seite aufrufen möchte, eine Verbotene https Seite funktioniert.

    Ich habe die Zertifikate verteilt, die ich von der UTM bekommen habe und als Endpoint Cert keines generieren lassen sondern ein CA aus unserer Windows PKI.

     

    Danke für die Hilfe im vorraus

    MfG Rorscha

  • Just confirming that you distributed the CA that you downloaded from here:

    If you still get the statuscode="502" block, the first thing to try is an Exception for the site for antivirus.  If that doesn't work, you must change the browser's Proxy Settings to skip the proxy for that FQDN.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hey Bob,

    ich habe auf dem von Ihnen gezeigtem Bild ein eigenes Zertifikat hochgeladen, welches auch an alle Rechner per GPO verteilt wurde. Aus Testzwecken habe ich dieses auch heruntergeladen und dieses verteilt. Das Problem besteht weiter hin. 

     

    Ich glaube das Problem wurde noch nicht richtig verstanden. Es geht nicht um eine spezifische Seite, sondern um generell nicht gefundene Seiten die per "https://" aufgerufen wird.

    Also wenn ich die Seite https://www.9feh92g39f3bv2978g.de aufrufen möchte bekomme ich eine Zertifikatswarnung. Diese bekomme ich in jedem Browser. Wenn ich die Warnung ignoriere komme ich auf die Sophos "host not found" Seite. Das Zertifikat, welches die Warnung verursacht sieht wie folgt aus:

      

     

    Danke für die Hilfe

    MfG

    Rorscha

  • I'm confused.  There is no such domain as 9feh92g39f3bv2978g.de.  The picture of the certificate looks like it's open in a Windows app.  Are we talking about Webserver Protection or Web Filtering?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Also,

    mein Problem ist, wenn ich eine Seite aufrufen möchte die nicht existiert, aus zufall oder sonst einem Grund, dann bekomme ich auch die Sophos "Host not found" error page.

    Tue passiert mir die jedoch bei einer nicht existierenden https Seite, so bekomme ich ein Zertifikats fehler. Der Screenshot oben zeigt das Zertifikat, welches ich als Ausnahme eintragen müsste, um dann auf die https "Host not found" Seite zu gelangen.

    Und wie gesagt ich habe das Zertifikat aus unserer Windows PKI welches ich dann in der Sophos hochgeladen habe.

     

    MfG

    Rorscha

Reply
  • Also,

    mein Problem ist, wenn ich eine Seite aufrufen möchte die nicht existiert, aus zufall oder sonst einem Grund, dann bekomme ich auch die Sophos "Host not found" error page.

    Tue passiert mir die jedoch bei einer nicht existierenden https Seite, so bekomme ich ein Zertifikats fehler. Der Screenshot oben zeigt das Zertifikat, welches ich als Ausnahme eintragen müsste, um dann auf die https "Host not found" Seite zu gelangen.

    Und wie gesagt ich habe das Zertifikat aus unserer Windows PKI welches ich dann in der Sophos hochgeladen habe.

     

    MfG

    Rorscha

Children
No Data