Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 61614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Https Strict Transport Security (HSTS) sites break transparent browser authentication

rahman
Hi,

We are evaluating transparent browser authentication with https filter only scanning.

The problem is if user opens a HSTS enabled site, chrome and firefox throws certificate errors and refuse to continue or add a security exeption. So user does not see UTM login page.

If the user opens a http or non HSTS https site first, he can login then the HSTS sites without any certificate errors.

Btw Under Web Protection->Misc->Certificate for End-User Pages ->Use a custom certificate for HTTPS pages is selected. Under there hosname is setted to artvin.edu.tr and use uploaded our wildcard valid certificate. Also in our dns server we have passthrough.artvin.edu.tr.         IN      A     213.144.15.19
So our users dont get certificate errors on passthrough.artvin.edu.tr pages.


This thread was automatically locked due to age.
Parents
  • 0
    We are indeed using URL filtering only, but I still get the HSTS error, strange.. Although I'm pretty sure I've been able to visit HSTS websites (twitter for example) before. I tried restarting web protection but that didn't help, might try to restart the whole device just to make sure..

    Update:
    Just did some testing and it seems I'm getting the HSTS error when I'm trying to visit a blocked website. We have a policy to allow social media to a limited group of users and I was testing with Twitter. When I'm in the group -> website opens fine. When I'm not in the group -> HSTS error when the proxy tries to show the "content blocked" page. IE11 still allows you to click "continue to this website" and when I do I reach the content blocked page, but with URL https://twitter.com and a certificate for twitter.com signed by the proxy.

    So even if you don't want to do HTTPS inspection, it seems you still need to fix the HTTPS certificate to enable to proxy to show a HTTPS content blocked message? Which..sucks...
Reply
  • 0
    We are indeed using URL filtering only, but I still get the HSTS error, strange.. Although I'm pretty sure I've been able to visit HSTS websites (twitter for example) before. I tried restarting web protection but that didn't help, might try to restart the whole device just to make sure..

    Update:
    Just did some testing and it seems I'm getting the HSTS error when I'm trying to visit a blocked website. We have a policy to allow social media to a limited group of users and I was testing with Twitter. When I'm in the group -> website opens fine. When I'm not in the group -> HSTS error when the proxy tries to show the "content blocked" page. IE11 still allows you to click "continue to this website" and when I do I reach the content blocked page, but with URL https://twitter.com and a certificate for twitter.com signed by the proxy.

    So even if you don't want to do HTTPS inspection, it seems you still need to fix the HTTPS certificate to enable to proxy to show a HTTPS content blocked message? Which..sucks...
Children
No Data
Unfiltered HTML