Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 23 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 40916 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebAdmin and user portal TLS v1.0

noregrets
I ran an external compliance scan on our network and received a notification that the the ports/services that handle the WebAdmin login and user portal for our UTM 220 accept TLS v1.0, which causes the scan to fail.  Is there any way I can disable v1.0?  I read a couple posts about manually updating the system for Heartbleed and TLS for SMTP, but I thought those methods might be outdated by now or not to applicable to this case.

The UTM 220 is at version 9.310-11.

thanks!


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    I can't say for sure since we installed a couple updates between scans.  We're on 9.313-3 now and are going to update to 9.315-2 soon.  I will re-scan after updating and see if the issue pops up again.
  • 0
    I've opened a case with Sophos Support to ask if they have done some other remediation in the code that makes TLSv1 safe now.  I'll report back.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I ran another PCI scan after installing 9.315-2 and the scan passed.  However, I don't know if it's because Sophos fixed the TLS 1.0 issue, or because the updates didn't change the conf files I modified.  Thanks for checking with Sophos.
  • 0

    Support reminded me that the issue with TLSv1 was BEAST - long before POODLE.  Unless your organization has PCs running XP or Server 2003, you can remove TLSv1 as described above or just by removing it from line 107 instead of adding another, later line.

    Personally, I think that should treat is as a bug that it's still in the conf file since it causes one to fail a PCI scan.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you for following up with Sophos.
  • 0
    Bob,

    I too have followed up with Sophos: (see * below)

    Your a nice guy and a patient guy. I am a busy guy and I, long ago lost my patience with these clowns. Make no mistake, they are clowns.

    You kindly indicate that this should still be listed as a "bug". Me, I say it is another poster child case for how far these guys have their heads up their backsides. 

    This is a SECURITY device, before anything else. And yet, sadly, you can't disable TLSv1 without jumping through command line hoops and then doing it again every time firmware is updated.

    *I have been told to "vote for it" as a feature on the blog, as it (disabling TLSv1, or adding a toggle in the GUI) is not on the "roadmap". Laughable.

    You see TLSv1, or for that matter IKEv2, or Anti-Replay, etc., don't factor into this years Magic Quadrant award.  Therefore, said corporate clowns don't care about it either and it is not on their precious "roadmap" that comes before all else. Sophos is not about real world security, it is about selling products by winning useless awards and impressing clueless IT buyers with bullet points and finely crafted messaging. 

    So - I have maybe a dozen sites that are required to be PCI compliant, but they can't pass a scan, so they pay the fines instead, or we spend COUNTLESS hours writing letters contesting the failed scans, or re-applying fixes after every firmware update. Yeah, that is the "secure" way to fly.

    Sophos can't find their way to put a SSL/TLS version checkboxes or sliders in the security settings. LAUGHABLE.

    On the brighter side: I am having bacon for dinner [:)] YUM
  • 0

    Hello. Did you guys find a solution to this problem?

    Apparently the latest versions came with no TLSv1 in configuration file but scanner still finding the problem.

  • 0 in reply to OmnerBarajas

    Omner, can you tell/show us explicitly what the scan sees on which port?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    HI Bob,

    This is the message:

    SSL/TLS Server supports TLSv1.0 - port 443/tcp over SSL

    That port (443) is the one I am using for my virtual web server.

    I have been checking setting in GUI or even server but not able to disable support for TLSv1.

Unfiltered HTML