Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 32 replies
  • Subscribers 0 subscribers
  • Views 15447 views
  • Users 0 members are here
Options
Suggested

[9.193-11][Bug] SSL Errors

mod2402
I've some strange errors if I switch-on HTTPS scanning. 

Sometimes the UTM generates wrong certificates with ip address instead of domainname. See images (google-chrome.jpg, google-ff.png, google-ie.png)

Mostly, I see ssl log errors and IE shows faulty certificate, but certificate itself Shows, all is good.. See images (google-ie2.png, google-ie3.png)

[HTML]2014:02:03-12:50:53 asg-1 httpproxy[6276]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x13d81540" function="ssl_log_errors" file="ssl.c" line="86" message="C 192.168.xx.xx: 4096207728:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:989:"[/HTML]

HTTPS (SSL) traffic is on (Decrypt and scan)
Parents
  • 0
    We are looking into this.  At issue is whether - at the time of the TCP / SSL connection - we can determine the correct address.  In Standard mode this is easy and in transparent it can be difficult.  It might be that the software is behaving as best as it can due to technical limitations - even though it sucks.  It may be that there is a bug or a way to improve it in the near timeframe.
  • 0 in reply to Michael Dunn
    We are looking into this.  At issue is whether - at the time of the TCP / SSL connection - we can determine the correct address.  In Standard mode this is easy and in transparent it can be difficult.  It might be that the software is behaving as best as it can due to technical limitations - even though it sucks.  It may be that there is a bug or a way to improve it in the near timeframe.


    Understood, I think it (For Url Filtering Only) should be able to. Because if the SSL url it isn't blocked, it passes the normal cert though. If it is, it then generates the cert. At least that's what it looks like when I tested.
Reply
  • 0 in reply to Michael Dunn
    We are looking into this.  At issue is whether - at the time of the TCP / SSL connection - we can determine the correct address.  In Standard mode this is easy and in transparent it can be difficult.  It might be that the software is behaving as best as it can due to technical limitations - even though it sucks.  It may be that there is a bug or a way to improve it in the near timeframe.


    Understood, I think it (For Url Filtering Only) should be able to. Because if the SSL url it isn't blocked, it passes the normal cert though. If it is, it then generates the cert. At least that's what it looks like when I tested.
Children
No Data
Unfiltered HTML