Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 8463 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Show User Notification from HTTPS inside HTTP?

Idriel
Hi,

I see that this is the explanation:
The UTM uses HTTPS to provide user notification, perform browser authentication and secure other user interactions. By default, the UTM uses an automatically generated certificate for these HTTPS connections.

However, I have transparent proxy without SSL Decrypt/Encrypt, so we are doing only URL Filtering with Quota enabled. When user limit quota is reached UTM is trying to show Quota notification page inside HTTPS website eg. Youtube and now we have untrusted CA (don’t wanna import it into computer, mobile phones etc…) because it’s classic MITM. 

The question is, when you are hitting your Quota limit, or any other notification inside HTTPS traffic that the notification appear inside HTTP. Some kind of redirect or anything?

I know about MITM, Certificates and all about that, but in this specific scenario don’t wanna have anything about certificates. No UTM CA import into any browser and so on, and only this where SSL is involved are notification pages inside HTTPS.


This thread was automatically locked due to age.
Parents
  • 0
    Here is (roughly) how it works:

    If the user requests an HTTP page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTP connection.

    If the user requests an HTTPS page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTPS connection.  It must MITM even if HTTPS scanning is off.

    The only exception to this is some authentication where the initial request is HTTP but we switch it to HTTPS.

    Note: if we do MITM in order to show a block page (quota warn, etc) it is only for that page display.  Once they are back at the real site it will be using the real Certificate again.

    For HTTPS we really don't have much other option.  The only other thing we could do that would not involve MITM is just drop the connection without sending any page back to the user.  For transparent mode that might end the browsing timing out and displaying a "cannot connect to server" error.
Reply
  • 0
    Here is (roughly) how it works:

    If the user requests an HTTP page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTP connection.

    If the user requests an HTTPS page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTPS connection.  It must MITM even if HTTPS scanning is off.

    The only exception to this is some authentication where the initial request is HTTP but we switch it to HTTPS.

    Note: if we do MITM in order to show a block page (quota warn, etc) it is only for that page display.  Once they are back at the real site it will be using the real Certificate again.

    For HTTPS we really don't have much other option.  The only other thing we could do that would not involve MITM is just drop the connection without sending any page back to the user.  For transparent mode that might end the browsing timing out and displaying a "cannot connect to server" error.
Children
No Data
Unfiltered HTML