This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Certificate Warning with https set to "URL filtering only"

Hi guys,

we installed a new system in a VM at a customer.

Enbaled Webfilter set to transparent mode and set HTTPS scan settings to "URL filtering only". This should normally not produce any certificate warnings... but IT DOES.
Any client who accesses a secure site gets a warning shot in the browser.
I disabled, enabled webfilter, restared the GW.. always same strange bahviour...

The only way at the moment is to enable "Do not proxy HTTPS traffic in transparent mode" but thats not what we want... 

...any ideas??

Cheers, kdessis


This thread was automatically locked due to age.
Parents
  • Just a note, instead of importing the CA for certificate errors on passthrough.hostname.domain you can actually purchase a publically signed certificate from say Comodo for the passthrough Subject Name. In Web Protection > Filtering Options > Misc tab at the bottom of the page is a section for "Certificate for End User Pages".

    Whatever hostname you put in there (i.e. fw.domain.com) it will be prefixed with passthrough. like this: passthrough.fw.domain.com.

    To test this, Comodo offer a free 90 day SSL cert which is pretty nifty and does the trick.

    We have been wrestling with this for a client because problems still occur if you're using transparent web filtering with Browser Auth (or as the OPs problem is showing). The problem is because the proxy for redirecting port 443 traffic generates an on-the-fly cert  (as Michael Dunn has said) to maintain the SSL/HTTPS connection. The only way to get past that bag of cats is to import the CA which is fine in a Domain Group Policy environment but not for BYOD.

    In a BYOD environment the best method is to create a landing page as soon as they connect which pushes them to an HTTP page (like a Ts&Cs) that is external to the network (so it sparks browser auth if used) and tells them to download and install the UTM Proxy CA. If you're using Transparent Browser Auth this is the best fit solution as discussed with Sophos Support to "mediate" the amount of people complaining about Cert errors.

    Unfortunately, in the past 2-5 years, HTTPS is becoming more and more prevalent and with the inclusion of HTTP Strict Transport Security (HSTS), this can break a proxy connection. To test this, set up a proxy and then try to connect to Google.co.uk, unless you've got an exception for it in the proxy it should crash the connection as it's untrusted and you can't proceed. Proxy technology and methodology is 10 years behind the level of security we use on our web browsers and pages today.

    Emile
  • Just a note, instead of importing the CA for certificate errors on passthrough.hostname.domain you can actually purchase a publically signed certificate from say Comodo for the passthrough Subject Name. In Web Protection > Filtering Options > Misc tab at the bottom of the page is a section for "Certificate for End User Pages".

    Whatever hostname you put in there (i.e. fw.domain.com) it will be prefixed with passthrough. like this: passthrough.fw.domain.com.

    To test this, Comodo offer a free 90 day SSL cert which is pretty nifty and does the trick.





    I have a cert for *.mydomain.org.uk so I can use it for this purpose.  So I set my dns up for passthrough.mydomain.org.uk to point to the UTM.  

    However this seems to break browsing when authenticating via the browser.  On my macs I then cannot get anywhere at all.  I don't even get to the UTM browser login page.

    have a I missed a trick here - this is very annoying!
  • I have a cert for *.mydomain.org.uk so I can use it for this purpose.  So I set my dns up for passthrough.mydomain.org.uk to point to the UTM.  

    However this seems to break browsing when authenticating via the browser.  On my macs I then cannot get anywhere at all.  I don't even get to the UTM browser login page.

    have a I missed a trick here - this is very annoying!



    Hi AlleynsITSupport,

    Did you put the DNS entry as the IP of the UTM or the IP as: 213.144.15.19?

    The reason for this is that Astaro/Sophos actually own this IP so they can use it in their UTM so when a packet that is destined for that external IP the UTM actually goes "ooh, that's for me" and intercepts it.

    To double check, if you go to Definitions & Users > Network Definitions then search for "passthrough" (w/out quotes) it will show two entries, the IPV4 definition which should be the IP shown above and an IPV6 address. Make sure the DNS entry matches up to what this definition says in your DNS and that should help. Another thing to make sure is that on the devices you install the Proxy CA Cert which can be found in Web Protection > Filtering Options > HTTPS CAs. This will help prevent trust issues.

    But if you're in a BYOD environment, this gets a tad difficult :/

    Hope this helps,
    Emile
Reply
  • I have a cert for *.mydomain.org.uk so I can use it for this purpose.  So I set my dns up for passthrough.mydomain.org.uk to point to the UTM.  

    However this seems to break browsing when authenticating via the browser.  On my macs I then cannot get anywhere at all.  I don't even get to the UTM browser login page.

    have a I missed a trick here - this is very annoying!



    Hi AlleynsITSupport,

    Did you put the DNS entry as the IP of the UTM or the IP as: 213.144.15.19?

    The reason for this is that Astaro/Sophos actually own this IP so they can use it in their UTM so when a packet that is destined for that external IP the UTM actually goes "ooh, that's for me" and intercepts it.

    To double check, if you go to Definitions & Users > Network Definitions then search for "passthrough" (w/out quotes) it will show two entries, the IPV4 definition which should be the IP shown above and an IPV6 address. Make sure the DNS entry matches up to what this definition says in your DNS and that should help. Another thing to make sure is that on the devices you install the Proxy CA Cert which can be found in Web Protection > Filtering Options > HTTPS CAs. This will help prevent trust issues.

    But if you're in a BYOD environment, this gets a tad difficult :/

    Hope this helps,
    Emile
Children
No Data