This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SECURITY BUG: No Revocation Checking When Performing HTTPS Inspection

Running firmware version 9.111-7 with "Scan HTTPS (SSL) Traffic" enabled.  When I browse to a website who's certificate is revoked (like: https://revoked.grc.com/ ) the UTM allows access to this page.  Browsing directly to that page without going through the UTM shows a proper revocation warning from all my tested browsers.  As I can access the page without error when my connection is proxies by the UTM, this leads me to believe that the UTM is not doing ANY revocation checking.  As revocation checking is a critical component of how certificates and HTTPS function, this is a significant security issue that needs to get fixed ASAP.


This thread was automatically locked due to age.
Parents
  • An update:

    As of 9.2 there is no support for CRL or OSCP revocation lists.  Sophos is fully aware that this is an issue, and it is a high priority that we hope to deal with in a future release.
  • An update:

    As of 9.2 there is no support for CRL or OSCP revocation lists.  Sophos is fully aware that this is an issue, and it is a high priority that we hope to deal with in a future release.


    Good to hear you're working on the problem.  As a request, could you please offer the option for administrators to enable hard-fail?  (I.e. deny access to a webpage if the CRL/OCSP is unable to be downloaded)  Both IE and Firefox offer this as an option.

    That and TLS 1.2 support would be awesome too... [:)]
  • Janus724 said:
    An update:

    As of 9.2 there is no support for CRL or OSCP revocation lists.  Sophos is fully aware that this is an issue, and it is a high priority that we hope to deal with in a future release.

    Good to hear you're working on the problem.  As a request, could you please offer the option for administrators to enable hard-fail?  (I.e. deny access to a webpage if the CRL/OCSP is unable to be downloaded)  Both IE and Firefox offer this as an option.
     

    Same issue with 9.502 (3 years later)

    will be a fix available before sg is end of life?
    On XG the issue is also present.

    regards

    mod

Reply
  • Janus724 said:
    An update:

    As of 9.2 there is no support for CRL or OSCP revocation lists.  Sophos is fully aware that this is an issue, and it is a high priority that we hope to deal with in a future release.

    Good to hear you're working on the problem.  As a request, could you please offer the option for administrators to enable hard-fail?  (I.e. deny access to a webpage if the CRL/OCSP is unable to be downloaded)  Both IE and Firefox offer this as an option.
     

    Same issue with 9.502 (3 years later)

    will be a fix available before sg is end of life?
    On XG the issue is also present.

    regards

    mod

Children
No Data