Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1295 views
  • Users 0 members are here
Options
Suggested

[8.281][NOTABUG][CLOSED] Self-signed cert popup with HTTPS proxy?

Jack Daniel
Maybe I've been gone too long, but I distinctly recall that I used to get a popup when browsing to a site with a self-signed cert, and that no longer happens.

HTTP/S proxy is doing SSL/TLS inspection, in transparent mode, no authentication.  Currently on 8.281, but it seems to have been happening for a while.

"Failure to validate cert" error is in the proxy log, but no message is displayed to the user.

Have I broken something, or is this a "feature" because the popups just confused end-users?

[EDIT: It wasn't a popup, it was an option on the "block" page. I now get it in standard mode proxy, but not in transparent. And don't get me started on how Firefox handles certs lately...]


Thanks
Jack
Parents
  • 0
    Hi Jack,

    In ASG 7 the certificate handling was completely broken (i.e. certificates were not validated at all). In ASG 8 we fixed that, so now the HTTP proxy tries to validate the server certificates, which also introduced the new behavior you described.

    The problem is that we cannot create a proxy certificate based on an untrusted server certificate. But without that proxy certificate we can't even deliver the block page over the encrypted connection that the browser wants to negotiate. This is why we simply reset the client's TCP connection.

    Regards,
    mlenk
  • 0 in reply to mle
    Ah, OK. Makes sense, just annoying that the user can't get a reason. 

    Easy answer for me is to set an alert in my SecurityCenter (SIEM) when I pick up that log entry, but that's a bit convoluted.

    Thanks
Reply Children
No Data
Unfiltered HTML