Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 7637 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to skip SSL Trust Check for all and any sites?

stealthmatt_01
Hi all,

I would like to make a URL exception to allow all and any sites to skip the Certificate Trust Check / Certificate Date Check

Would I just add the matching url as 

^https://([A-Za-z0-9.-]*\.)?*\.com\.au/ 
^https://([A-Za-z0-9.-]*\.)?*\.com/

or maybe

^https://*\.com/


Thank you


This thread was automatically locked due to age.
  • 0
    I would only do this for sites that listen on port 4444, you can too?
  • 0
    Wow, why do you want this? It would be a huge security risk because every malicious site with faked certifikates would pass!?

    Perhaps you can tell us what's the reason behind this so we might get to another solution!?

    Anyway, if you want to cover every possible url you can use something like:
    ^https://([A-Za-z0-9-]+\.)*[A-Za-z0-9-]{2,}\.[A-Za-z]{2,}/
  • 0
    The reason why I ask is because of the poor HTTP transparent proxy that has been implemented that is blocking sites like microsoft activation sites. 

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45936

    error="Failed to verify server certificate"

    co2.sls.microsoft.com - 65.52.98.231

    I can't add every single site that has an issue, some are banking sites some other microsoft sites. Most sites use many ip's and domains.

    This frustrates the user and causes more IT overhead than is needed.
  • 0 in reply to stealthmatt_01
    Well, if you're using the transparent proxy, then simply disable "Scan HTTPS traffic" and create an appropriate firewall rule...
  • 0
    Matt, I use an Exception for Banking/Finance.  If you're scanning HTTPS, in addition to importing the HTTPS Signing CA into your browsers, you must also add it to each computer via MMC so that Microsoft, and other, updates work.  Those two changes will make HTTPS scanning liveable.

    Cheers - Bob
  • 0 in reply to BAlfson
    Exactly how do you mean add an exception for banking sites?

    If you're talking about URL Filtering exception, then I already have this set for microsoft, and any bank site we use. However, guess what? It still have certificate issues.

    Also we already have the UTM CA certificate in our group policy and on every computer. I have followed the recommend way.

    I can't turn off SSL scanning cause then it opens the issue of facebook and other various sites bypassing the filter. However, I am more than happy to take off certificate checks.

    Also it appears in the logs that it records them as IP addresses not the actual domain name for some reason?

    If this is the case then I might just need to put an IP filter in instead

    ^https://\d+(\.\d+){3}/


    URL consisting of an IPv4 address
  • 0
    You can add an Exception for the category "Finance/Banking."

    If the Web Filtering log shows IP addresses in the URL, then that's how the site is programmed.

    If you're scanning SSL just to block things like Facebook, then you might be happier with a Standard mode and no SSL scanning.

    Cheers - Bob
  • 0
    Please explain? We use transparent mode wiyh authentication - does standard mode mean I have to configure each an every computer/browser with a proxy?
  • 0
    If you have Active Directory, you can use a GPO to configure everyone.  You also can use a wpad.dat file to configure them - some people prefer that because it's easier to adapt to laptops that are used outside and inside the network.  If  you use my suggestion about leaving the default filter in Transparent mode and really tightening it down, then you can let the users disable Proxy usage that's configured via GPO.

    Cheers - Bob