Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 48 replies
  • Subscribers 1 subscriber
  • Views 155377 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

unable to get local issuer certificate for a lot of sites after update to 9.310

TPok
Hi,

I did the update to 9.310 last weekend and now I am facing a "unable to get local issuer certificate" error for a lot of https sites. This could be relatet to the update or not. I am not sure but those sites were working a few days ago.

Some examples for non working sites:
https://www.ing-diba.de/ - Issuer: /C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL CA - G3
https://www.amazon.de/ - Issuer: /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
https://www.adobe.com/ - Issuer: /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3

Some other sites like eBay are working so maybe thsi is related to the Issuning CA. As far as I can see those are present on the UTM.

Can anybody confirm there is an issue or not.
I will open a support case, too.

Thanks.


This thread was automatically locked due to age.
  • 0 in reply to Joerg_Riether
    It's pretty convincing. [:)]  Very strange, I had no such problem on several firewalls.  None of them a 625 though...
  • 0
    solved one minute ago by sophos global escalation services. there were some unused certificates in the waf. deleting these resulted in success. boom.
  • 0 in reply to Joerg_Riether
    I know you all love pictures ;-)

    OK leaving now - wish you all a nice weekend.

    Best regards,
    Joerg
  • 0
    Same Problem here, Sophos is up2Date.
    I did the Workaround, now some Sites still don't work.
  • 0
    seems to work now after some Reboots (HA sdwitches).
  • 0
    I just got a reply from Sophos Support. The problem is known and they released a KB article:
    https://www.sophos.com/en-us/support/knowledgebase/122257.aspx

    But no info about a final so far.
  • 0
    hi Guys,

    even after following the work around.. some banking websites usign the Symantec Certs still don't work..

    Certs Installed:



    Sophos Error on website - https://ib.nab.com.au/nabib/index.jsp

  • 0 in reply to jazzoberoi
    hi Guys,

    even after following the work around.. some banking websites usign the Symantec Certs still don't work..



    This is slightly different problem caused by SSL/TLS configuration at the bank side. They indeed send complete chain up to and including both cross-certified new root (blue) and self-signed old root (red): 

    $ echo Q | openssl s_client -connect ib.nab.com.au:443 2> /dev/null | grep -E "^[ 0-9]{3}[is]:"

     0 s:/1.3.6.1.4.1.311.60.2.1.3=AU/businessCategory=Private Organization/serialNumber=004 044 937/C=AU/postalCode=3008/ST=Victoria/L=DOCKLANDS/street=L 3 800 Bourke St/O=National Australia Bank Limited/CN=ib.nab.com.au

       i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL SGC CA - G2

     1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 EV SSL SGC CA - G2

       i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5

     2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5

       i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority    

     3 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority

       i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority


    Strictly speaking, there's no reason to include self-signed root certificate in chain, since the party that verifies the certificate (client or in this case UTM's HTTPS scanning proxy):


    • already trusts any certificate in the chain (uncommon case, but not rare) - verification finishes successfully before self-signed root certificate becomes interesting in verification (also see my notes on OpenSSL's default verification algorithm, compared to "trusted_first")
    • trusts only self-signed root certificate (most cases) - verification finishes successfully based on party's local knowledge of self-signed root certificate
    • trusts neither any certificate in the chain nor self-signed root certificate - verification fails since there's no way to build certificate chain up to locally trusted entity


    Since the old root certificate in this case exists in two versions with different signature algorithms (see my post here https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/57149-unable-get-local-issuer-certificate-lot-sites-after-update-9-310-a.html#post295032), binary/fingerprint comparison fails if the server-supplied version of the root certificate differs from the one you trust.

    The server ib.nab.com.au:443 sends chain that includes old root certificate with SHA1 fingerprint:

    74 2c 31 92 e6 07 e4 24 eb 45 49 54 2b e1 bb c5 3e 61 74 e2

    In "Local verification CAs" click on the blue "i" left to the certificate name and you'll see fingerprint. Also note that yesterday Up2date pattern included cadata package that reverts changes introduced two days before and again includes both versions of Verisign's old root CA, so the site ib.nab.com.au should be trusted.

    Rgds,

    Ondrej
  • 0
    Hi folks!

    I have imported the Symantec CA ZIP file and some other CA certificates but i still have the message appearing on our client browsers for a German Bank "Ostsächsische Sparkasse Dresden". (see screenshots)

    Could anyone help please? 
    Uwe
  • 0
    Uwe, do you have the "VeriSign Class 3 Extended Validation SSL CA" in the 'Global Verification CAs' below your local ones?  What result do you get from
    rpm -qa | grep cadata
    cat /etc/version


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML