This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Certificate Warning with https set to "URL filtering only"

Hi guys,

we installed a new system in a VM at a customer.

Enbaled Webfilter set to transparent mode and set HTTPS scan settings to "URL filtering only". This should normally not produce any certificate warnings... but IT DOES.
Any client who accesses a secure site gets a warning shot in the browser.
I disabled, enabled webfilter, restared the GW.. always same strange bahviour...

The only way at the moment is to enable "Do not proxy HTTPS traffic in transparent mode" but thats not what we want... 

...any ideas??

Cheers, kdessis


This thread was automatically locked due to age.
  • What is the warning?   Please show a related line from the Web Filtering log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • You will still get the warning if you access an https site that is blocked, because it needs to man-in-the-middle in order to display the block page.  And if you are using browser auth and it needs to display the portal login page.
  • I'm puzzling over this issue as well.  Hosts that trust my UTM's cert are OK, but those that do not trust it are getting cert errors on HTTPS sites that are blocked when the UTM responds with its own page.  What I wish is that I could set it to just reset the connection without responding with a friendly explanation as to what happened.  Is there a way to do that?
  • Hi, and welcome to the User BB!

    Please click on [Go Advanced] below and attach a picture of the warning.  Also, please show the related line from the Web Filtering log file.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi there,

    all my customers  that do not use full https scanning have also these issue. I can't understand, why sophos says that is not a bug. The issue occurs because the error page is called by https://paththrough.host.domain.tld/static/logo.png

    All customers who want to use the web protection must rollout the utm ca certificates in their active directory domain.

    For me, that is absolutly a bug.
    €dit
    or must import the ca certificate in the local browser.

    regards
    mod
  • Certainly.  Attached is an error from a host running Kaspersky Internet Security, resulting from an attempted secure connection to doubleclick.net during the course of normal user web browsing to some legitimate site.  When Sophos UTM intervenes due to this being a web ad, the response that comes back to the host is from an untrusted source as far as its concerned, therefore a warning to that effect.  So, again, I think it would be my preference that the UTM simply drop/reset the connection rather than replying with an explanation as to what happened.  Perhaps that's simply not an option.  

    Here's what was logged on the UTM at that time...
    2015:09:27-19:10:53 hostnameXYZ httpproxy[5279]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.X.X" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3312" request="0x181cf800" url="googleads.g.doubleclick.net/" referer="" error="" authtime="0" dnstime="0" cattime="57727" avscantime="0" fullreqtime="355025" device="0" auth="0" ua="" exceptions="" reason="category" category="154" reputation="trusted" categoryname="Web Ads"
  • .....
    All customers who want to use the web protection must rollout the utm ca certificates in their active directory domain.


    Another solution (easiest one) is to import certificate of internal AD CA server (if present) to UTM.

    Not a bug, UTM uses MITM not only for SSL decrypt and scan, but also for other things.  This post was from Michael Dunn, that I saved in my KB:

    The UTM uses HTTPS to provide user notification, perform browser authentication and secure other user interactions. By default, the UTM uses an automatically generated certificate for these HTTPS connections:
    o If the user requests an HTTP page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTP connection.
    o If the user requests an HTTPS page and the proxy must interrupt (eg show a block/quota page) then it send the block page on the HTTPS connection. It must MITM even if HTTPS scanning is off.
    o The only exception to this is some authentication where the initial request is HTTP but we switch it to HTTPS.
    o Note: if we do MITM in order to show a block page (quota warn, etc) it is only for that page display. Once they are back at the real site it will be using the real Certificate again.
    o For HTTPS we really don't have much other option. The only other thing we could do that would not involve MITM is just drop the connection without sending any page back to the user. For transparent mode that might end the browsing timing out and displaying a "cannot connect to server" error.
  • Yes, that last bullet item is what I was hoping was possible somehow.  Looks like a conscious decision not to do it that way.  It would be a nice option to have, even if the default were to send block page and one had to knowingly switch it to silent drop.
  • Another solution (easiest one) is to import certificate of internal AD CA server (if present) to UTM.

    Not a bug, UTM uses MITM not only for SSL decrypt and scan, but also for other things.  This post was from Michael Dunn, that I saved in my KB:

    Hi vilic,

    yes this is one solution for managed clients. But what about smartphones, tablets, MACs and other unmanaged devices?

    Normaly you should never import a ca certificate with private key from another ca into the utm. The right way is, use an underlaying issuing ca just for the utm.

    The unmanaged devices are a big problem. They need a manual import. The user portal can not provide the webadmin ca cert (default config) or the VPN signing ca cert (with configured custom end user certificate).

    I can't understand why the blockpage must called over https...

    For me, this is a bug.

    regards
    mod
  • I can't understand why the blockpage must called over https...

    My guess: because the original request was done over https. The UTM can't just send back http data over port 80 where the client is expecting a https response from server port 443. Something like that maybe? Could be completely wrong so don't take my word for it.. [:P]