Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 2192 views
  • Users 0 members are here
Options
Suggested

[9.165][ANSWERED]HTTPS Full Transparent Scanning - How?

scorpionking
Hi!

Updated via Up2Date - no problems so far.

How do I configure the transparent HTTPS scanning without the need for the Proxy CA on the client? Didn't find an appropriate option in the profile settings...
Parents
  • 0
    In both 9.1 and 9.2 when "Scan HTTP (SSL) Traffic" is unchecked, the transparent proxy was still used for HTTPS.  In both 9.1 and 9.2 if you block nudity and try to go to https playboy you will be blocked - even with scanning off.

    This is true except in cases where you multiple domains hosted at the same IP that use the same SSL certificate (eg www.penthouse.com and forums.penthouse.com at the same IP with the same certificate but different hostnames).  In this case in 9.1 during the TLS handshake we don't know the real destination and therefore cannot do categorization blocking.  After the TLS handshake is done I think the HTTP CONNECT is not visible (no SSL scanning) so we don't block.

    The 9.2 SNI support is an improvement, allowing us to detect the real destination earlier (during TLS handshake).  This means that sites which have one certificate handling multiple domains, we now block them.

    In practical terms, for those who who have "Scan HTTP (SSL) Traffic" turned off the only difference will be better categorization detection for sites that have multiple domains on one certificate, which means better blocking.
Reply
  • 0
    In both 9.1 and 9.2 when "Scan HTTP (SSL) Traffic" is unchecked, the transparent proxy was still used for HTTPS.  In both 9.1 and 9.2 if you block nudity and try to go to https playboy you will be blocked - even with scanning off.

    This is true except in cases where you multiple domains hosted at the same IP that use the same SSL certificate (eg www.penthouse.com and forums.penthouse.com at the same IP with the same certificate but different hostnames).  In this case in 9.1 during the TLS handshake we don't know the real destination and therefore cannot do categorization blocking.  After the TLS handshake is done I think the HTTP CONNECT is not visible (no SSL scanning) so we don't block.

    The 9.2 SNI support is an improvement, allowing us to detect the real destination earlier (during TLS handshake).  This means that sites which have one certificate handling multiple domains, we now block them.

    In practical terms, for those who who have "Scan HTTP (SSL) Traffic" turned off the only difference will be better categorization detection for sites that have multiple domains on one certificate, which means better blocking.
Children
No Data
Unfiltered HTML