Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 15 replies
  • Subscribers 0 subscribers
  • Views 2442 views
  • Users 0 members are here
Options
Suggested

[v7.380] HTTPS scanning need some help - portal sites fail

RFCat_vk_01
Hi,
I have succeeded in getting the https scanning to work on my web bank site, but not web mail. My son and I use different web sites for some of our e-mail and both fail.

The log shows the connect method as being blocked for "portal sites"

I have "portal sites" selected in the profile.

The only change in the profile is to disable https scanning.

Also instant messaging fails, with a similar message in the log, connect method blocked.

Ian M
  • 0
    No one else finding that all https is re-directed rergadless of bypass settings.
    This problem was noted on a XP and Vista 64 PCs?

    Also no-one else having problems with msn messenger being blocked?

    Ian M[:S][:S][:S]
  • 0 in reply to RFCat_vk_01
    RFCAT_vk,

      When you say "I have "portal sites" selected in the profile." do you mean you have portal sites blocked under content blocking? Did you try making an exception (not a pass rule, an exception) for those sites?

      Which sites are they?

      What do you mean by bypass settings when you say "No one else finding that all https is re-directed rergadless of bypass settings.". Where are you setting that?

      I haven't gotten MSN Messenger (for the Mac) to work, it's a certificate issue and I'm not sure what to do. I can connect from my Mac but others can't connect from theirs. I'll be working on this problem today.
  • 0 in reply to RFCat_vk_01


    Also no-one else having problems with msn messenger being blocked?

    Ian M[:S][:S][:S]


    Are you getting the message that the date/time is wrong or it's a certificate issue? That's what I'm getting. This is with MSN messenger for the mac, not going through http or the proxy but using port 1863 though I still see it trying to get out on http

    Greg
  • 0 in reply to takoateli
    RFCat_vk,

      As I said in a previous post I was able to connect with msn messenger using my computer (Leopard 10.5.6) and another user wasn't able to connect with Tiger. I had imported certs but still no go. Maybe I didn't do it right. Anyway I upgraded that Tiger machine to 10.5.0 and it connected no problem. What OS is your machine running that can't connect to msn messenger?

    Greg
  • 0 in reply to takoateli
    takoateli,
    With https scanning enabled. I have acces to the portal sites enabled in the web profiles.
    On my Vista 64 PC accessing my work web mail fails. The log error message shows the connect method as blocked because it is a portal site. 
    I use firefox where I was able to import the certificate correctly. I get the date timezone error messgae, but that is problem with my work mail server, every one gets that message.

    My son who is running XP Pro has the same issue with his web mail access and also his msn messenger fails for the same reason.

    I have not been able to successfully import an ASG certificate into IE on either XP ( 2 PCs) or Vista 64 Ultimate. IE advises that is has successfully imported the certificate but brings up the same error message as before the certificate was imported.

    Tonight I will try the same things on my vista 32 business laptop.

    I hope that helps.

    Ian M[:S]
  • 0 in reply to RFCat_vk_01
    takoateli,
    With https scanning enabled. I have acces to the portal sites enabled in the web profiles.
    Ian M[:S]


    Are you using the transparent http/s proxy or standard http/s proxy?

    I don't think you even need to use the web profiles unless you're getting fancy with things like restricting only certain users or having a time based access rule. What I think you probably do need to do if you haven't done it already is go to Web Security>HTTP/S>Exceptions and make an exception for that site being sure to check the options for skipping the cert checks. See if that helps.

    Greg
  • 0 in reply to takoateli
    Thank you for the pointer, I hadn't seen the bypass certificate fields. I tried that and one of my sites works with the https scanning enabled.
    But that gets back to one of my other threads, I have that url bypassing the http proxy, so why should I have to enable extra exemptions to get acces to the site?

    HTTPS scanning starts to take on a life of its own with exclusions and exemptions. I would have expected the existing exlcusions/exemptions to work.

    To me there is something wrong with the way the HTTPS scanning is structured. I expect over time it will evolve into its own menu item.

    Ian M
  • 0 in reply to RFCat_vk_01
    Ian,

      The url pass list and the exemptions are very different animals. I believe the url pass list just bypasses the url blacklisting, where as the exemptions do that plus a whole lot more. The exemptions give you very granular control.

      So are you good to go? Is everything working?

      You still didn't say how you're running the proxy? In the standard mode or the transparent mode?

    Greg
  • 0 in reply to takoateli
    Greg,
    I am running the http proxy in standard mode.

    The url concerned is setup with bypass the proxy (including most proxy functions) and a number of packet filter rules to allow it out. So on that basis I would not expect any of the proxy functions to have be active or am I misunderstanding what bypass proxy means.

    Ian M
  • 0 in reply to RFCat_vk_01
    Ian,

      Hopefully one of the more senior members can chime in. I'm new to this.

      I just read the whole thread again. Can you tell me what kind of environment you're running? How many computers? Do you need to use profiles? Understand profiles are for having different policies for different users and/or at different times. If you don't require policies I strongly suggest you don't use them.

      I don't believe you want the packet filter rules in there. Your traffic should be going through the proxy.

      I would set up a url pass for the sites you're trying to get to which are getting stopped as portal sites.

      To get messenger to work I had to manually configure it to use the socks4 or socks 5 proxy and I had to turn on the ASG socks proxy. Just set it to allow all users.

      For the certificates try this below. Choice "a" worked great for me.

    To "repair" the chain of trust when using HTTPS scanning, the client browser must trust the "Signing CA" of the proxy. This CA can be managed at "HTTP/S Proxy".

    Three options are available to get the public "Signing CA" certificate installed into the client browsers (or in the case of IE, Window's certificate management):

    a) Have clients visit the URL "http://passthrough.fw-notify.net/cacert.pem". This will trigger certificate installation. The process varies from browser to browser.

    b) Download the "Signing CA" in PEM format in WebAdmin (HTTP/S Proxy -> HTTPS CAs), then distribute it to clients using AD group policies (good for MS shops).

    c) Have clients visit the End User Portal. It has a new menu entry "HTTPS proxy" which features a single button to install the "Signing CA".


      If you can get the certs in and get it all working then I'd take off the stuff you put in to try and make it work which might not be necessary like the exceptions. No point in bypassing more than you need to.