Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 7970 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https proxy only delivers tls1.1, no tls1.2

AmigoHD
It's me again with still the same problem.
I am using the latest sophos free license version with https filtering enabled with a built https proxy ca cert within the utm.
i can surf all https sites perfectly but something is strange:



the https web proxy does still not offer tls1.2, tls1.1 is maximum.
this is problematic in chrome, as it's telling that old encryption is used.
the ca cert automaticaly built by the utm does use sha1 and only 2048 bit keys.

is there a way:
1. to get a proper 4096 bit web proxy ca cert with at least sha2?
2. to use tls1.2 and more efficient cipher suites instead of tls1.1?


This thread was automatically locked due to age.
Parents
  • 0
    I am looking for an answer to this as well. Chrome will start showing a red "https" in 2017 for sites using SHA1. This will confuse users because the site will not look secure. I would think that before then, Sophos will have updated from SHA1 to something more modern.
  • 0 in reply to eporro
    Starting with Chrome 42 we have this problem now company-wide. Some of our customers are also using Chrome as standard browser.

    The UTM Root-Cert is SHA-1, which means EVERY connection which goes through the https-proxy is non-trusted by Chrome:

    Sophos UTM SSL problem Chrome 42 SHA-1.png

    The question is: if we reissue the "Proxy CA" cert, will it be SHA-2?

    More information HERE

    We know - this only affects the part of the connection from UTM->Client within LAN, not the external connection. Still, users complain since they don't know whats wrong with the connection. 

    Best regards,
    TP
Reply
  • 0 in reply to eporro
    Starting with Chrome 42 we have this problem now company-wide. Some of our customers are also using Chrome as standard browser.

    The UTM Root-Cert is SHA-1, which means EVERY connection which goes through the https-proxy is non-trusted by Chrome:

    Sophos UTM SSL problem Chrome 42 SHA-1.png

    The question is: if we reissue the "Proxy CA" cert, will it be SHA-2?

    More information HERE

    We know - this only affects the part of the connection from UTM->Client within LAN, not the external connection. Still, users complain since they don't know whats wrong with the connection. 

    Best regards,
    TP
Children
No Data
Unfiltered HTML