Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 23 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 40251 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebAdmin and user portal TLS v1.0

noregrets
I ran an external compliance scan on our network and received a notification that the the ports/services that handle the WebAdmin login and user portal for our UTM 220 accept TLS v1.0, which causes the scan to fail.  Is there any way I can disable v1.0?  I read a couple posts about manually updating the system for Heartbleed and TLS for SMTP, but I thought those methods might be outdated by now or not to applicable to this case.

The UTM 220 is at version 9.310-11.

thanks!


This thread was automatically locked due to age.
  • 0
    I ran an external compliance scan on our network and received a notification that the the ports/services that handle the WebAdmin login and user portal for our UTM 220 accept TLS v1.0, which causes the scan to fail.  Is there any way I can disable v1.0?  I read a couple posts about manually updating the system for Heartbleed and TLS for SMTP, but I thought those methods might be outdated by now or not to applicable to this case.

    The UTM 220 is at version 9.310-11.

    thanks!


    I'm having the same issue as well. Were you ever able to find a fix?
  • 0 in reply to elafaurie
    I'm still working on resolving it.  I'll post back here once I find a solution.  I purchased an SSL certificate and installed it on the UTM, but the scan still fails even though the web admin and user portal are using TLS v1.2.
  • 0 in reply to noregrets
    I'm still working on resolving it.  I'll post back here once I find a solution.  I purchased an SSL certificate and installed it on the UTM, but the scan still fails even though the web admin and user portal are using TLS v1.2.


    Awesome! I'll post up if I find a solution also.
  • 0 in reply to elafaurie
    In order for the scan to pass, someone from Sophos support had to SSH to our UTM and disable TLS v1.0.  Our reseller was very helpful in facilitating this.
  • 0
    Noregrets, what is the output of the following on your UTM?
    grep SSLProtocol /var/sec/chroot-httpd/etc/httpd/httpd.conf

    I expect "SSLProtocol +TLSv1.1 +TLSv1.2" nstead of "SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to noregrets
    In order for the scan to pass, someone from Sophos support had to SSH to our UTM and disable TLS v1.0.  Our reseller was very helpful in facilitating this.


    Thanks for the heads up. I have a ticket open with them at the moment.
  • 0 in reply to elafaurie
    /var/sec/chroot-httpd/etc/httpd/httpd.conf still contains: 
    SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2


    Apparently, adding 
    SSLProtocol +TLSv1.1 +TLSv1.2

    to /var/sec/chroot-httpd/etc/httpd/vhost/httpd-portal.conf as the last parameter in the SSL section disables TLS v1.0.
  • 0 in reply to BAlfson
    Noregrets, what is the output of the following on your UTM? 
    grep SSLProtocol /var/sec/chroot-httpd/etc/httpd/httpd.conf

    I expect "SSLProtocol +TLSv1.1 +TLSv1.2" nstead of "SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2."

    Cheers - Bob


    Just checked and on my system it shows

    SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
  • 0
    Just wanted to mention that I had to do this again because a firmware update undid the changes to the conf files.  I also had to add the SSLProtocol parameter mentioned in my prior post to /var/sec/chroot-httpd/etc/httpd/vhost/httpd-webadmin.conf

    In both conf files, I added it after the line containing the SSLCACertificateFile parameter.
  • 0
    @ noregrets - Which firmware Up2Date?  I just remembered that that change was a part of the POODLE fix almost a year ago.  If it's undone by an Up2Date, we need to get that info to Sophos.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML