Certificate Warning with https set to "URL filtering only"

Technically there is more than one request involved.

When you go to https badsite.com and the UTM blocks you it sends back an html page that says it is coming from badsite.com.  This must be done with a man-in-the-middle where the badsite.com certificate appears to come from the UTM's CA (certificate authority).

Now that html page may in turn load things like the logo.  If I recall correctly (and I might not) they are loaded from utmname.fqdn/path or maybe from fw-notify.net (this is not a real site, the UTM serves up these pages).  These must also be served over HTTPS (or else the browser displays a warning about mixed content).  There is an option to use the UTM's certificate (NOT the CA).  I believe on the Advanced menu you can upload a real purchased certificate that is valid for the UTM (for example something that has a subject alternate name of *.mycompany.com).  Then those elements that the html loads will be shown with a correct certificate.

But the browser's bar will still show https badsite.com and the html is still served with a certificate generate from the UTM's CA for badsite.com.  There is no way around that.

The only alternative is that https block pages just drop the connection and the user has no idea what is going on.  The UTM does not support that option, however you can raise a feature request if you want to.  Most people feel that a certificate warning followed by a block page is better than a silent drop.

Technically there is more than one request involved.

When you go to https badsite.com and the UTM blocks you it sends back an html page that says it is coming from badsite.com.  This must be done with a man-in-the-middle where the badsite.com certificate appears to come from the UTM's CA (certificate authority).

Now that html page may in turn load things like the logo.  If I recall correctly (and I might not) they are loaded from utmname.fqdn/path or maybe from fw-notify.net (this is not a real site, the UTM serves up these pages).  These must also be served over HTTPS (or else the browser displays a warning about mixed content).  There is an option to use the UTM's certificate (NOT the CA).  I believe on the Advanced menu you can upload a real purchased certificate that is valid for the UTM (for example something that has a subject alternate name of *.mycompany.com).  Then those elements that the html loads will be shown with a correct certificate.

But the browser's bar will still show https badsite.com and the html is still served with a certificate generate from the UTM's CA for badsite.com.  There is no way around that.

The only alternative is that https block pages just drop the connection and the user has no idea what is going on.  The UTM does not support that option, however you can raise a feature request if you want to.  Most people feel that a certificate warning followed by a block page is better than a silent drop.

Thanks for the feedback.  I do think it is worth throwing into the pile of ideas and have submitted it as a feature request.  Perhaps a small minority of users would prefer it, but I think it should be an option.

Thanks for the feedback.  I do think it is worth throwing into the pile of ideas and have submitted it as a feature request.  Perhaps a small minority of users would prefer it, but I think it should be an option.

Please post the link for the feature request here. I'll vote there [:)]

Technically there is more than one request involved.

When you go to https badsite.com and the UTM blocks you it sends back an html page that says it is coming from badsite.com.  This must be done with a man-in-the-middle where the badsite.com certificate appears to come from the UTM's CA (certificate authority).

Now that html page may in turn load things like the logo.  If I recall correctly (and I might not) they are loaded from utmname.fqdn/path or maybe from fw-notify.net (this is not a real site, the UTM serves up these pages).  These must also be served over HTTPS (or else the browser displays a warning about mixed content).  There is an option to use the UTM's certificate (NOT the CA).  I believe on the Advanced menu you can upload a real purchased certificate that is valid for the UTM (for example something that has a subject alternate name of *.mycompany.com).  Then those elements that the html loads will be shown with a correct certificate.

But the browser's bar will still show https badsite.com and the html is still served with a certificate generate from the UTM's CA for badsite.com.  There is no way around that.

The only alternative is that https block pages just drop the connection and the user has no idea what is going on.  The UTM does not support that option, however you can raise a feature request if you want to.  Most people feel that a certificate warning followed by a block page is better than a silent drop.

Hi Michael,

thanks for the detailed explanation. Now I understand why Sophos goes this way. But I think a mixed content warning is better the the red X on many places.

regards
mod