Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10791 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 SSL certeficate error

iadh
We Use a standard mode with browser authentication, the problem is when we have a certicate error before the authentication page but after authentication no more ssl error.
how can we resolve this problem ?


This thread was automatically locked due to age.
  • 0
    You may get some difference in behavior if you first are visiting an HTTP site or if you are first visiting an HTTPS site.  If it is HTTPS then it needs to do man-in-the-middle to redirect you to the login page.

    You can remove certificate errors by installing the UTM certificate as a Certificate Authority.  There are details on doing this in Help and in the KnowlegeBase.
  • 0
    we have 5000 users, about 4000 of them are not member of the domain so we can't deploy the certificate by GPO ?
    we are ready to buy a public certificate but we are not sure if the probleme will be resolved [:S]
  • 0 in reply to iadh
    Even a publicly signed certificate is not trusted by default. So you face the same problem ... sadly!

    It is really a pain when you cant use an active directory or users have insuffcient rights.

    But thats the way it only works [:)]
  • 0
    as i know a public certificate (from digicert for example) is trusted by the browser and don't need to be installed it in the browser
  • 0
    All certificates issued from public CA's should be trusted from Windows clients using IE or Chrome (assuming that they were relatively recently Windows updated). 

    In some cases Firefox and older Android or Windows mobile devices (for Exchange ActiveSync access) reports problem, because of broken CA chain trust.
     
    In that case, you should upload both Root and Intermediate CA manually on your UTM. 

    Screenshots attached are from two differrent UTMs, one was using GoDaddy, other Comodo CA for Exchange OWA/Active-Sync/OA access.
  • 0
    vilic, did you really get this work without having to install the ca as trusted on every single client?

    i would really like to buy a cert to solve these problems -  but sophos kb tells:

    Can I purchase a public certificate from a CA to avoid certificate warnings?

    While it may be tempting to purchase a publicly signed signing certificate to avoid a certificate warning, the HTTPS security model will prevent this from succeeding. If the signing certificate itself (NOT the issuer of the certificate) is not a trusted signing authority in the user's browser, then a certificate error will still be shown to users. A certificate purchased from a signing authority offers no advantages in this instance, over a self-signed certificate.
  • 0
    You can always "try before buy" with CA vendors that offers free 30/60-day fully functional certs.
  • 0
    You can buy a certificate from a valid CA however this will not resolve the initial problem.  The certificate that you buy from the CA is valid for your domain.  It does not allow you (or your UTM) to then issue other certificates for other domains.  In other words - you are buying a "certificate" you are not buying a "certificate authority".  If anyone could do this then there would not be much security in the world.

    From a non-technical standpoint, look at it like this.  You want to have a secure and un-spyable connection to your bank.  If something (like a proxy) wants to decrypt and scan that information an administrator needs to explicitly allow it.  If it was silent to the user then anyone could spy on your traffic.  The browsers and system are designed to be noisy - they are intended to warn people that someone is spying on secure communication.  All UTMs and proxies everywhere that decrypt and scan HTTPS traffic will cause the browser to complain that communication is insecure.


    Now, that being said, there is something in 9.2 that you can do that can help somewhat (wont help the original poster).

    The issue is this - the utm uses certificates for two things.  The first is when the UTM displays a page or images from passthough.fw-notify.net.  For example - when the UTM displays a block page and there is a little block image.  For this you need a certificate for the UTM itself - for HTTPS to/from the UTM.

    The next thing is when the UTM intercepts and changes an HTTPS that goes to an internet site.  In this case the UTM needs to generate a certificate on-the-fly that identifies the destination site.  In this case the UTM needs to be a Certificate Authority.

    First case - the UTM needs a certificate for one site (itself).  Second case - the UTM needs a certificate authority (for all sites).  In 9.2 you can purchase a public certificate that covers the first case.
  • 0
    that's what i want.
    i need a certificate for passthough.fw-notify.net.
  • 0
    how can i get this certificate
Unfiltered HTML