Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 7967 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https proxy only delivers tls1.1, no tls1.2

AmigoHD
It's me again with still the same problem.
I am using the latest sophos free license version with https filtering enabled with a built https proxy ca cert within the utm.
i can surf all https sites perfectly but something is strange:



the https web proxy does still not offer tls1.2, tls1.1 is maximum.
this is problematic in chrome, as it's telling that old encryption is used.
the ca cert automaticaly built by the utm does use sha1 and only 2048 bit keys.

is there a way:
1. to get a proper 4096 bit web proxy ca cert with at least sha2?
2. to use tls1.2 and more efficient cipher suites instead of tls1.1?


This thread was automatically locked due to age.
  • 0
    Current software version...: 9.309003
    Hardware type..............: Software Appliance
    Installation image.........: 9.206-35.1
    Installation type..........: asg
    Installed pattern version..: 77268
    Downloaded pattern version.: 77268
    Up2Dates applied...........: 13 (see below)
                                 sys-9.206-9.207-35.19.2.tgz (Nov  7 13:56)
                                 sys-9.207-9.208-19.8.5.tgz (Nov  7 13:56)
                                 sys-9.208-9.209-8.8.1.tgz (Nov  7 13:57)
                                 sys-9.209-9.300-8.5.1.tgz (Nov 18 13:40)
                                 sys-9.300-9.301-5.2.3.tgz (Nov 18 14:00)
                                 sys-9.301-9.302-2.2.1.tgz (Nov 26 17:29)
                                 sys-9.302-9.303-2.2.1.tgz (Dec  4 11:30)
                                 sys-9.303-9.304-2.9.2.tgz (Dec 11 21:45)
                                 sys-9.304-9.305-9.4.1.tgz (Dec 17 18:24)
                                 sys-9.305-9.306-4.6.1.tgz (Jan 19 10:15)
                                 sys-9.306-9.307-6.6.1.tgz (Feb  2 13:07)
                                 sys-9.307-9.308-6.16.1.tgz (Feb 23 23:03)
                                 sys-9.308-9.309-16.3.1.tgz (Mar 11 17:49)
    Up2Dates available.........: 0
    Factory resets.............: 0
    Timewarps detected.........: 0
  • 0
    has really no one the same problem? or are you all satisfied by tls1.1 with older, not performant cipher suites?!
  • 0
    i tried a fresh install of the latest software image without any restore. still the same. the https proxy does only offer tls1.1 with older cipher suites.
    this would not be a problem. but newer browsers will have problems with older encryption and maybe one day the will stop support those weak certificates and cipher suites.

    any chance to get that to the devs support without a professional license?
    is this really no problem for anyone of you?
  • 0
    Amigo, if you followed the POODLE vulnerability, you might remember that the TLS exposure was with CBC.  Part of the remediation involved removing that from the UTM. That site just needs to update and eliminate its exposure to POODLE.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob, I read your reply to Amigo and I am still left with a question.  Here's a test I just tried that leaves me puzzled.

    Sitting here a work behind a Fortigate firewall with no proxy enabled.  I set my IE11 to use only TLS1.2 and can successfully connect to https://www.google.com.  I then RDP to my server at home behind my version 9.309 UTM.  I set the server IE10 to use only TLS1.2 and I cannot connect to https://www.google.com.  I see the following error in my  webfilter log 
    2015:03:24-14:12:58 pandorica httpproxy[5738]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xde27f800" function="ssl_raw_read" file="ssl.c" line="627" message="SSL_ERROR_SYSCALL: ret=-1 error=Connection reset by peer"


    Makes me wonder also if my UTM can process TLS1.2 encrypted traffic.

    Rick
  • 0
    Rick, a new vulnerability (CVE-2014-8730) that affects TLSv1.2 was discovered December 8, and the UTM has that exposure removed.

    I don't know if Microsoft has fixed the vulnerability in some other way or if it's advisable to disable SSLv3.0 and TLSv1.2 in IE.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    there is nothing wrong with surfing tls1.2 websites. 
    i am talking about the re-encryption of the utm to the enduser. the proxy ca cert is 2048bit only with sha1 hash instead of modern 4096 bit with sha2.
    and the https web proxy re-encryption is done in tls1.1 only, no support for modern ciphers in tls1.2 while the webinterface is secured by tls1.2.
    so this has to be a problem in https web proxy. while does the proxy for clients do not offer tls1.2 for re-encryption?
  • 0
    I am looking for an answer to this as well. Chrome will start showing a red "https" in 2017 for sites using SHA1. This will confuse users because the site will not look secure. I would think that before then, Sophos will have updated from SHA1 to something more modern.
  • 0 in reply to eporro
    Starting with Chrome 42 we have this problem now company-wide. Some of our customers are also using Chrome as standard browser.

    The UTM Root-Cert is SHA-1, which means EVERY connection which goes through the https-proxy is non-trusted by Chrome:

    Sophos UTM SSL problem Chrome 42 SHA-1.png

    The question is: if we reissue the "Proxy CA" cert, will it be SHA-2?

    More information HERE

    We know - this only affects the part of the connection from UTM->Client within LAN, not the external connection. Still, users complain since they don't know whats wrong with the connection. 

    Best regards,
    TP
Unfiltered HTML