Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 32 replies
  • Subscribers 0 subscribers
  • Views 15439 views
  • Users 0 members are here
Options
Suggested

[9.193-11][Bug] SSL Errors

mod2402
I've some strange errors if I switch-on HTTPS scanning. 

Sometimes the UTM generates wrong certificates with ip address instead of domainname. See images (google-chrome.jpg, google-ff.png, google-ie.png)

Mostly, I see ssl log errors and IE shows faulty certificate, but certificate itself Shows, all is good.. See images (google-ie2.png, google-ie3.png)

[HTML]2014:02:03-12:50:53 asg-1 httpproxy[6276]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x13d81540" function="ssl_log_errors" file="ssl.c" line="86" message="C 192.168.xx.xx: 4096207728:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:989:"[/HTML]

HTTPS (SSL) traffic is on (Decrypt and scan)
Parents
  • 0
    This sounds as if it's "by-design" (but perhaps necessitating documentation) rather than a typical bug.

    If action == "block" AND https_filter_mode == "URL filtering only" then
      return SSL_cert_by_IP
    else
      do_other_stuff
    endif

    Imagine a client that has cached the certificate or knows the chain of a certificate for a given site.  Now, you generate a cert for that domain and the client will scream about a forged certificate (which in my opinion is a higher error and leess likely to be bypassable) rather than saying mismatched name (and possibly untrusted if you haven't trusted the UTM's CA).

    So I'd say this falls into:

    1) It's a documentation bug

    2) also, there should be a feature-request to allow the administrator to manipulate this behavior
Reply
  • 0
    This sounds as if it's "by-design" (but perhaps necessitating documentation) rather than a typical bug.

    If action == "block" AND https_filter_mode == "URL filtering only" then
      return SSL_cert_by_IP
    else
      do_other_stuff
    endif

    Imagine a client that has cached the certificate or knows the chain of a certificate for a given site.  Now, you generate a cert for that domain and the client will scream about a forged certificate (which in my opinion is a higher error and leess likely to be bypassable) rather than saying mismatched name (and possibly untrusted if you haven't trusted the UTM's CA).

    So I'd say this falls into:

    1) It's a documentation bug

    2) also, there should be a feature-request to allow the administrator to manipulate this behavior
Children
No Data
Unfiltered HTML