Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 9044 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM-generated SSL certificate causes warning in Chrome

Arie
It looks like the UTM-generated certificate (for HTTPS filtering) is using SHA-1. 

The current version of Chrome will not regard certs with SHA-1 to be fully trustworthy (and subsequently not displaying a padlock).

Future versions (Q1 of 2015) will show a padlock with a red X on it.

Any plans to upgrade the UTM to SHA-2?



This thread was automatically locked due to age.
  • 0
    If you have a paid license, please open up a case with Sophos support.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I don't think that new installations have this problem.  Are you using any certificate-based VPNs or Remote Access methods?  The SMTP Proxy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Multiple other people on these forums have reported this and you are correct that the UTM uses SHA-1 for its' proxy certificate.  In order to bring this to the attention of Sophos and get it changed, paid license users will need to open cases with Sophos Support.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott, I'm [:S] !

    The Proxy CA produced by the UTM has had both a SHA1 and a SHA256 signature for well over five years.  At , I get the SHA1 warning, but at other Google sites, I don't:



    Is this a Chrome problem caused by Chrome attempting to use SHA1 to see if the client still supports it?  If the UTM stopped accepting SHA1 in advance of the 1/1/2017 deadline, would that cause more problems?  Is this more of a judgment on the quality of the servers' certs than on the CA of the UTM HTTPS Proxy?

    Or, is this problem the "Local X509 Cert" that's generated with SHA1?  Is that the cert used by the Proxy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, I believe there are two different SHA1 uses that make things rather confusing.

    I'm not knowledgeable about this so don't take it as gospel but I discovered that if you're not using TLS 1.2 Chrome gives you a warning about obsolete cryptography and this includes a note that you're using SHA1 for Message Authentication.  This is a bit of a red-herring as the SHA1 that we're meant to be getting rid of is the signature hash (which these days tends to be SHA256).

    My point is, I was already using a SHA2 cert but then spent a bunch of time trying to work out how to get my message-auth to use SHA256 due to the warning.  I realised that the warning goes away when you switch to TLS 1.2 and has nothing to do with SHA1.

    Cheers,
    James
  • 0
    First of all, let me say this area is a mystery to me.

    However, I can say that in 9.308 (released March 2015) the UTM did include a change that was intended to deal with this and use SHA256.  If anyone is having issues and is not on the latest, upgrade first.

    If there are still issues after then (as I understand it) very roughly there could be two causes.  One is that we generated certificates before that fix was in and have not regenerated them after.  The other is that we are still not generating new certs in a way that makes Chrome happy enough to not display errors.
Unfiltered HTML