Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 5270 views
  • Users 0 members are here
Options
Suggested

[9.270] Possible ssl/tls bug in web filtering on 9.265/9.270 and 9.209

AmigoHD
I updated my installation to 9.209 (and later to 9.265 for testing) but I have problems with Web Filtering. As soon as I turn on Web Filtering with SSL scanning I can't browse any SSL sites.
If i disable SSL scanning I still get errors / timed out. I really had to disable Web Filtering completly to surf any SSL sites again.
Nothing helped. Tried skipping rules for certain sites and so on.

I then did a fresh install of 9.209 and even the actual beta of 9.3, but with no luck. Still the same issues with SSL sites.
Alpha 9.260 does work, as well as 9.208-8 did. Any newer version do not let me surf ssl sites, i get time outs, especially host not found.

Some Errors:

While trying to retrieve the URL:https://www.facebook.com/
The content could not be delivered due to the following condition: Host not found

2014:10:25-14:30:24 ThomaSOFT URID[7562]: T=7562 ------ 2 - Warning: EARLY TIMEOUT: dns context 0 has 5996 ms before it should time out\n
2014:10:25-14:31:09 ThomaSOFT URID[7562]: T=7562 ------ 2 - Warning: EARLY TIMEOUT: dns context 6 has 5996 ms before it should time out\n

btw. its not only https, its also tls in mail for pop3. Scan TLS encrypted POP3 traffic does not work when check box marked, as the proxy can't connect to the server. disabling this option let's me get my mails.

With stable 9.208-8 and 9.3 alpha 9.260 all is fine.
I posted this in the Up2Date section as well: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29653
It seems not everybody have/had the problem as I did. I really had to go back to an older version to get ssl sites working again.
it's not about my config or certs, it's really a bug in web filtering.
with 9.260 alpha and the same config restored all is working fine. on beta 9.265 or 9.270 or stable 9.209 ssl sites do not work with web filtering enabled.
Parents
  • 0
    Hi AmigoHD,
    Thanks you for posting your issue here.

    I am working for the proxy team and so I can not speak to your mail issue, but I can try and help you with the proxy. I tried to reproduce the issue in our lab but had no luck. We have to settle on remote debugging [;)]. There are a few culprits that come to mind when reading your post. Please bear with me I want to go through all the culprits methodically, to make sure we do not miss anything.

    SSL/TLS:
    The first thing that could be the issue with TLS/SSL is that the mitigation of POODLE could be a problem in your case. This should not be a problem if you don't use Windows XP and Internet Explorer 6. To test if this is really not the case you can use SSLLabs browser test under: https://www.ssllabs.com/ssltest/viewMyClient.html
    If your client speaks any of the TLS protocols something else is the problem.

    Client does not trust the proxy CA:
    Maybe your browser does not establish the SSL/TLS connection because it does not trust the provided cert.
    Did you try to install the CA that the UTM proxy uses? You can find the certificate under 'Web Protection' => 'Filtering Options'=>'HTTPS CAs'=> 'Signing CA'=> 'Download' the CA and save as 'PEM'. The quickest way to test this, is to use Firefox and install the CA. To do this go to 'Options'=> 'Advanced'=>'Certificates'=> 'View Certificates'=>'Authorities' and 'Import' the CA that you downloaded. Try if you can connect to Facebook now.

    DNS:
    Are you able to resolve Facebook from the UTM? Try to log into the UTM over ssh and run 'host facebook.com' to check if DNS might be a problem.

    If all of the above points did not help pinpoint your issue, could you provide me with information on what browser and which version you are using? Is there anything specific to your network setup?

    If you don't want to post the information to the Forums you can PM me for my mail address.

    Thanks,
    Robert
Reply
  • 0
    Hi AmigoHD,
    Thanks you for posting your issue here.

    I am working for the proxy team and so I can not speak to your mail issue, but I can try and help you with the proxy. I tried to reproduce the issue in our lab but had no luck. We have to settle on remote debugging [;)]. There are a few culprits that come to mind when reading your post. Please bear with me I want to go through all the culprits methodically, to make sure we do not miss anything.

    SSL/TLS:
    The first thing that could be the issue with TLS/SSL is that the mitigation of POODLE could be a problem in your case. This should not be a problem if you don't use Windows XP and Internet Explorer 6. To test if this is really not the case you can use SSLLabs browser test under: https://www.ssllabs.com/ssltest/viewMyClient.html
    If your client speaks any of the TLS protocols something else is the problem.

    Client does not trust the proxy CA:
    Maybe your browser does not establish the SSL/TLS connection because it does not trust the provided cert.
    Did you try to install the CA that the UTM proxy uses? You can find the certificate under 'Web Protection' => 'Filtering Options'=>'HTTPS CAs'=> 'Signing CA'=> 'Download' the CA and save as 'PEM'. The quickest way to test this, is to use Firefox and install the CA. To do this go to 'Options'=> 'Advanced'=>'Certificates'=> 'View Certificates'=>'Authorities' and 'Import' the CA that you downloaded. Try if you can connect to Facebook now.

    DNS:
    Are you able to resolve Facebook from the UTM? Try to log into the UTM over ssh and run 'host facebook.com' to check if DNS might be a problem.

    If all of the above points did not help pinpoint your issue, could you provide me with information on what browser and which version you are using? Is there anything specific to your network setup?

    If you don't want to post the information to the Forums you can PM me for my mail address.

    Thanks,
    Robert
Children
No Data
Unfiltered HTML