Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 12967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Proxy Java Update fails

Der_Stift
Hi,

we do have the webfilter https proxy enabled. and our clients wont get any java updates. 
When I clieck on Java Update, the Certficate shows up (CA is our UTM, Owner is oracle.com) so I click yes accept the certificate and nothing happens. 

I added akamaitechnologies, java, oracle and sun as DNS-Group to the webfilter->advanced-> transparent mode exceptions and I disabled all Cert Checks for this 3 hosts as well. I dont get any information in the webfilter-logs. So I guess that oracle doesnt accept our selfsigned cert.

Any idea?

Regards


This thread was automatically locked due to age.
  • 0
    If there's nothing in the Webfiltering log, then try what I call Rule #1:

    Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.



    Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,
    thanks for this fast replay but unfortunatly both logs are empty [:(] I remember we had some trouble with the Windows Update Service and I added some Microsoft Update Server as DNS-Group in the Transparent Mode Exceptions. But this dont work for java either.... 
    Any other ideas?

    THANKS
  • 0
    Did you check to be sure your additions to the transparent mode skips are working?  Do these accesses appear in the Web Filtering log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    guess they are working, cause those for Microsoft are. No they dont appear in the log. 

    BTW I do have the same problem with Firefox Updates. I made an exception group for Blocking EXE Files and Antivir Scanning for Firefox Updates, but cant update my firefox. Firefox says it is up to date but the browser in my lab is version 14... And this is not up to date [;)]

    So: 
    - Windows Updates works
    - Java and Mozilla wont [:(]

    I've honestly no idea what to do...
  • 0 in reply to Der_Stift
    Hi,

    good news. Java Updates work now. 

    Adding javadl-esd-secure.oracle.com to the transparent exception did it! Just oracle.com was not enough. 
    I thought that DNS-Group for oracle.com means every subdomain from oracle.com !?

    So hands on firefox now [;)]
  • 0 in reply to Der_Stift
    Same for Firefox -> aus3.mozilla.org did the trick. It is not possible to add *.mozilla.org as DNS-Group right? Is it possible to add a wildcard for all server within mozilla.org?

    Cheers
  • 0
    You are correct.  Because of the way DNS works, there's no way to query for all IPs of all subdomains of a domain.  I think there's a feature request that suggests creating a new definition type for the transparent mode skiplist that uses reverse DNS.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I'm having another problem with Java Update.

    I added javadl-esd-secure.oracle.com to my transparent skiplist. The problem now is, that we included .msi to our blocked file extensions but the Java Update is a .msi

    Can I set a exclusion just for javadl-esd-secure.oracle.com and .msis from there?

    thanks in advance

    Max

    the new sophos board sucks... :-( please give us the old one back.

  • 0
    Hi, Max, and welcome to the User BB!

    There's something else going on.  With a DNS Host definition for that FQDN in the transparent mode skiplist, there should be no block of any file extension from there.

    Please find the block in the Web Filtering log file and show us that line.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi BAlfson,

    thanks for your help! 

    2014:02:04-16:28:10 UTM-1 httpproxy[17908]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="140.140.5.245" dstip="88.221.93.24" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x9cc4488" url="rps-svcs.sun.com/.../html"

    2014:02:04-16:28:52 UTM-1 httpproxy[17908]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="140.140.5.245" dstip="54.195.84.83" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0xd1b2258" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error=""

    2014:02:04-16:28:53 UTM-1 httpproxy[17908]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="140.140.5.245" dstip="54.195.84.83" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0xd1b2258" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error=""

    2014:02:04-16:28:53 UTM-1 httpproxy[17908]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="140.140.5.245" dstip="54.195.84.83" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="11" request="0xd1b2258" url="http.00.s.sophosxl.net/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension,size" error=""  


    After that it says:

    "Download failed: from=http://javadl.oracle.com/***"

    thanks!

    the new sophos board sucks... :-( please give us the old one back.

Unfiltered HTML