Problem when accessing HTTPS sites

maybe you are blocking the connect method

Hi,

We are using Astaro Security Linux V5 and we are configured for standard HTTP proxy. And Block CONNECT Method: is disabled. 

Any help would be appriciated.

Thanks & Regards,
-Subbi.

hi there all, 

we have issued the update 5.011 which includes a fix for the HTTPS IE bug.
so check it out.

Gert

Hi,

I just played around with ASL 5.011 and the surf-protection. 
I entered the word "webmail" to the URL Blacklist and went to the
URL  https://www.strato-webmail.de
The displayed page stays empty. To me it seems that the error  page the proxy generates is not fully transfered to the client. In the source of the page I can see only the following:
 Code:

---

 



  

    URL 'www.strato-webmail.de:443' matched against 'webmail'

    

Just did a test with IE6 and  Comdirect  Online Banking. This does not work!!!  The point you enter your TAN and press Okay you get an error from IE.
I turned off the SurfProtection in ASL 5.011 and everything was fine...THIS SUCKS!


cu SveN

Same Problem here with login at supplier.daimlerchrysler.com.
(To reproduce no password is needed).
It seems that the site issues a 302-code to redirect to another page.
Can this be the Problem ?

Hi there, 

i just took a look why most of the browsers work with the Proxy, but IE not.

The default behavior of IE for none proxy connections is to use HTTP 1.1, for proxied connections HTTP 1.0.
Why, i got no clue.

Mozilla, Firefox and similar always use HTTP 1.1 also for their proxied connections.

I am not really aware what the in depth difference is, and why 1.1 work and 1.0 not.

BUT, if you enable the HTTP 1.1 for proxied connection, everything works fine.

In order to do this, please go inside your IE to 
Tools > Internet Options ... > Advanced 

Inside there you will find a HTTP 1.1 section, please enable both checkboxes.

After enabling that, plz try again.

Regards
Gert

Question:  if running a transparent HTTP proxy is this also an issue, or does this only affect the standard proxy?

IME only affect stadard..transparent i have ot encountered any issues...also one thing..IE6 by default tries to autodetect proxies..this could be one of the causes of this weird behavior..go into internet options.and rerun the internet connection wizard..the automatic configuration window uncheck automatic discovery of proxy..then continue onwards..

Since enabling HTTP/1.1 for proxies was one of the first solutions
to this Problem, I already tried. I Just checked again.
HTTP/1.1 for proxies is activated but the daimlerchrysler site
refuses to work. Thanks to Microsoft for this stupid Error-Pages.
"Server oder DNS kann nicht gefunden werden"
Without Content-Filter or Firefox it works.

[ QUOTE ]
- Tested on Windows XP and 2000 with fully patched IE6, HTTP 1.1 and HTTP 1.1 over proxy enabled 
- With Firefox 0.8 no problem (on the 2000 machine), the page is fully transfered.

Anyone the same problem? 

[/ QUOTE ]

Same here. Enabling or disabling both http 1.1 settings in IE doesn't make a difference. Also proxy auto discovery disabled. I'm still unable to login without errors.

Hi Gert,

just played another round with the proxy.
As I told you above, I have enabled "http 1.1" and "http 1.1 over proxy" and I do not see the complete error page for https://www.strato-webmail.de if the word "webmail" is in the blacklist. 

Now I turned off the user authentication for the http-proxy on the firewall and tadaaa: I see the complete error page 
 [:)]
user authentication on: The error page is not transfered completly  [:(]

Mybe you can check this out?

cu SveN

Hi Gert,

just played another round with the proxy.
As I told you above, I have enabled "http 1.1" and "http 1.1 over proxy" and I do not see the complete error page for https://www.strato-webmail.de if the word "webmail" is in the blacklist. 

Now I turned off the user authentication for the http-proxy on the firewall and tadaaa: I see the complete error page 
 [:)]
user authentication on: The error page is not transfered completly  [:(]

Mybe you can check this out?

cu SveN

Hi,

just wanted to keep this thread alive.
Was someone able to reproduce the problem, or am I the only one???

cu SveN

I wonder that noone tried to reproduce the Problem with the public available
Site i mentioned.

I think there may be still issues with the Content Filtering and not just for HTTPS.

I turned it on today, just with the default rules.  No antivirus checking, no Cobion, no whitelist or blacklist.

Web surfing immediately slowed down (and no it wasn't because of cacheing).
People running MSN reported MSN signing in and out randomly as well. (Unsure if this is related).

A utility we run that operates over Port 80 stopped communicating to the external site.

ver 5.011
Athlon 2500+
1GB DDR RAM
40GB 8MB Cache 7200RPM

[ QUOTE ]
just wanted to keep this thread alive.
Was someone able to reproduce the problem, or am I the only one???

[/ QUOTE ]

As far as I'm concerned the update didn't fix the problem with IE accessing webmail (https) sites. I'll report it to my astaro distributor (we have a support contract) and let them deal with it.

the moment you turn on the content filtering the pages you request are no longer "piped" to the clients but downloaded and then passed to the content filter for scanning. this has an impact on the percieved surfing speed, so turning on the content filter and do no filtering is a pure overhead generator. atm both the HTTP request and response are passed for scanning which is not needed if response scanning such as AV, PCRE or script removal are not used. the scanner proxy could be set to use "passthrough" for response which would improve performance for people not using response scanning but it is not yet used by the mdw. i cannot give a schedule for this but we ARE working on that one.

Hi Vukasin,

I am not talking about speed issues. Of course it takes longer to get a page if ASL has to download and scan it viruses, black- whitelists, SurfProtection categories and other things. That is not my problem.

My Problem is: I cannot view some pages or do my daily work through the proxy if the surfprotection is on. That is my problem!

Today I started a keep-alive-post on this thread because I haven't heard anything from ASL for five days. A simple answer like "We were able to reproduce and work on it" would have been fine. 
Gert wrote one answer where he told me that "HTTP 1.1" has to be enabled. The Posting before I wrote that I had already enabled "HTTP 1.1". 
I do not think that my problem description was that complicated to read...

Maybe I should contact ASL-Support directly but I want to share the Information with other users (btw. ASL-Support would not be happy if all users asking for the same problem).

So please, give us an answer that takes care about the problem.

cu SveN

registered customers should contact the support (as the header of this page states). we are working on a workaround for the IE bug which prevents users from accessing some HTTPS sites. As a workaround until we fix this you can either enter the trusted pages into the "trusted domain" list (the content filter is then bypassed) or consider using Mozilla or Firebird (they have a normal HTTPS handling and not the M$ broken one).

Maybe someone should update the knows-issues-Document if you are
still working on the https-Problem. It would be nice to know what IE does wrong in that case.

[ QUOTE ]
As a workaround until we fix this you can either enter the trusted pages into the "trusted domain" list (the content filter is then bypassed) or consider using Mozilla or Firebird (they have a normal HTTPS handling and not the M$ broken one). 

[/ QUOTE ]

Thanks for the tip. I've have added the webmail sites to the white list and it now works. For the time being being I'll let the workstation AV deal with users double clicking attachements. Switching from IE to Mozilla/Firebird is not an option. Management doesn't want to divert from 'industry standards'.

the funny thing is that the Mozilla works because it compies to standards [:)])