UTM 9.2 SSL certeficate error

You can buy a certificate from a valid CA however this will not resolve the initial problem.  The certificate that you buy from the CA is valid for your domain.  It does not allow you (or your UTM) to then issue other certificates for other domains.  In other words - you are buying a "certificate" you are not buying a "certificate authority".  If anyone could do this then there would not be much security in the world.

From a non-technical standpoint, look at it like this.  You want to have a secure and un-spyable connection to your bank.  If something (like a proxy) wants to decrypt and scan that information an administrator needs to explicitly allow it.  If it was silent to the user then anyone could spy on your traffic.  The browsers and system are designed to be noisy - they are intended to warn people that someone is spying on secure communication.  All UTMs and proxies everywhere that decrypt and scan HTTPS traffic will cause the browser to complain that communication is insecure.


Now, that being said, there is something in 9.2 that you can do that can help somewhat (wont help the original poster).

The issue is this - the utm uses certificates for two things.  The first is when the UTM displays a page or images from passthough.fw-notify.net.  For example - when the UTM displays a block page and there is a little block image.  For this you need a certificate for the UTM itself - for HTTPS to/from the UTM.

The next thing is when the UTM intercepts and changes an HTTPS that goes to an internet site.  In this case the UTM needs to generate a certificate on-the-fly that identifies the destination site.  In this case the UTM needs to be a Certificate Authority.

First case - the UTM needs a certificate for one site (itself).  Second case - the UTM needs a certificate authority (for all sites).  In 9.2 you can purchase a public certificate that covers the first case.

You can buy a certificate from a valid CA however this will not resolve the initial problem.  The certificate that you buy from the CA is valid for your domain.  It does not allow you (or your UTM) to then issue other certificates for other domains.  In other words - you are buying a "certificate" you are not buying a "certificate authority".  If anyone could do this then there would not be much security in the world.

From a non-technical standpoint, look at it like this.  You want to have a secure and un-spyable connection to your bank.  If something (like a proxy) wants to decrypt and scan that information an administrator needs to explicitly allow it.  If it was silent to the user then anyone could spy on your traffic.  The browsers and system are designed to be noisy - they are intended to warn people that someone is spying on secure communication.  All UTMs and proxies everywhere that decrypt and scan HTTPS traffic will cause the browser to complain that communication is insecure.


Now, that being said, there is something in 9.2 that you can do that can help somewhat (wont help the original poster).

The issue is this - the utm uses certificates for two things.  The first is when the UTM displays a page or images from passthough.fw-notify.net.  For example - when the UTM displays a block page and there is a little block image.  For this you need a certificate for the UTM itself - for HTTPS to/from the UTM.

The next thing is when the UTM intercepts and changes an HTTPS that goes to an internet site.  In this case the UTM needs to generate a certificate on-the-fly that identifies the destination site.  In this case the UTM needs to be a Certificate Authority.

First case - the UTM needs a certificate for one site (itself).  Second case - the UTM needs a certificate authority (for all sites).  In 9.2 you can purchase a public certificate that covers the first case.