Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 61617 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Https Strict Transport Security (HSTS) sites break transparent browser authentication

rahman
Hi,

We are evaluating transparent browser authentication with https filter only scanning.

The problem is if user opens a HSTS enabled site, chrome and firefox throws certificate errors and refuse to continue or add a security exeption. So user does not see UTM login page.

If the user opens a http or non HSTS https site first, he can login then the HSTS sites without any certificate errors.

Btw Under Web Protection->Misc->Certificate for End-User Pages ->Use a custom certificate for HTTPS pages is selected. Under there hosname is setted to artvin.edu.tr and use uploaded our wildcard valid certificate. Also in our dns server we have passthrough.artvin.edu.tr.         IN      A     213.144.15.19
So our users dont get certificate errors on passthrough.artvin.edu.tr pages.


This thread was automatically locked due to age.
Parents
  • 0
    Hi icto,

    we´ve got the same issue, talked to the support yesterday. In fact, it seems to be necessary to import the utm´s ca certificate, even if you´re just doing url-filtering, but thats only necessary for sites using hsts, like "mail.google.com"... On the other websites, you can simply click the proceed button without problems. But there is also a difference between the browsers.

    Chrome and Firefox are showing a hsts error, while internet explorer shows the normal block or warning page. But take a look at the url. Chrome & Firefox redirect to https: even if you type http://gmail.com.


    So in my opinion the best way is to import the utm certificate to all the clients. And in this case, you could turn on https scanning, if you box can handle that...
  • 0 in reply to seroal
    Hi all,

    this thread could help in understanding the issue: 

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46667

    It seems that when the action is to block, a MITM is made to show us the block page.
Reply Children
No Data
Unfiltered HTML