This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

unable to get local issuer certificate for a lot of sites after update to 9.310

Hi,

I did the update to 9.310 last weekend and now I am facing a "unable to get local issuer certificate" error for a lot of https sites. This could be relatet to the update or not. I am not sure but those sites were working a few days ago.

Some examples for non working sites:
https://www.ing-diba.de/ - Issuer: /C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL CA - G3
https://www.amazon.de/ - Issuer: /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
https://www.adobe.com/ - Issuer: /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3

Some other sites like eBay are working so maybe thsi is related to the Issuning CA. As far as I can see those are present on the UTM.

Can anybody confirm there is an issue or not.
I will open a support case, too.

Thanks.


This thread was automatically locked due to age.
Parents
  • This solves the issue. Thank you.
    The certificate can be found here (Root 2):
    Licensing and Use of Root Certificates | Symantec

    I'll leave the Support case open. IMHO Sophos has to fix this.
  • IMHO Sophos has to fix this.


    Indeed. I am not happy to have old 1k Verisign root on trust list in 2015 [:(]

    But to be realistic - implementation of alternate verification algorithm requires two changes:

    [LIST=1]
    • Upgrade OpenSSL to either 1.0.2 or patch OpenSSL 1.0.1 with backported support of "trusted_first".
    • Enable use of "trusted_first" in httpproxy (and maybe it will be useful to do so in other daemons performing SSL/TLS MitM like pop3 proxy).
    [/LIST]

    These changes require a lot of testing, so personally I don't expect this to be done in a few days. Nevertheless, such changes may already be in release plan.
Reply
  • IMHO Sophos has to fix this.


    Indeed. I am not happy to have old 1k Verisign root on trust list in 2015 [:(]

    But to be realistic - implementation of alternate verification algorithm requires two changes:

    [LIST=1]
    • Upgrade OpenSSL to either 1.0.2 or patch OpenSSL 1.0.1 with backported support of "trusted_first".
    • Enable use of "trusted_first" in httpproxy (and maybe it will be useful to do so in other daemons performing SSL/TLS MitM like pop3 proxy).
    [/LIST]

    These changes require a lot of testing, so personally I don't expect this to be done in a few days. Nevertheless, such changes may already be in release plan.
Children
No Data