Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 7922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Scanning HTTPS (SSL) Traffic causes Cert Warning

scmiles
7.400 and 7.401, when I enable "Scan HTTPS (SSL) Traffic" and then browse to an HTTPS site, like https://www.paypal.com, I get a cert error, and viewing the details shows this:

Common Name (CN) = www.paypal.com
Organization (O) = PayPal, Inc.
Organizational Unit (OU) = Information Systems

The strange part is this, under the Issued By

Common Name (CN) = OurComany Proxy CA
Organization (O) = OurCompany Name
Organizational Unit (OU) = Not part of certificate.

Now obviously this info is causing the error, when not using the Scan HTTPS option the cert issued by section is normal like this:

Common Name (CN) = VeriSign Class 3 Extended Validation SSL SGC CA
Organization (O) = VeriSign, Inc.
Organizational Unit (OU) = VeriSign Trust Network.

Any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    When you are in the HTTP/S item select the "HTTPS CAs" tab. Since the firewall handles all https you need to install a Signing CA on each machine to prevent them from getting the error. It can be a pain, but is well worth it in the long run.

    Oh course if someone has an easier way of doing this than touching each machine or telling the users to do it through the user panel I would be VERY interested.

    Take care,
    Ben
  • 0 in reply to BigBen
    When you are in the HTTP/S item select the "HTTPS CAs" tab. Since the firewall handles all https you need to install a Signing CA on each machine to prevent them from getting the error. It can be a pain, but is well worth it in the long run.


    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim
  • 0 in reply to Jim Tagert
    I am still seeing the error as well, and I have confirmed the Signing CA p12 file from the "Web Security » HTTP/S" page was correctly stored from the GPO into the Trusted Root Certification Authorities store for the computer.

    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim
  • 0 in reply to Jim Tagert
    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim

    The HTTPS Scanning works by acting as a 'man-in-the-middle'. Normally, when your browser requests the secure site, what happens is that the browser and the site do a little handshaking and negotiate a secure SSL connection.  When HTTPS scanning is enabled, the Astaro hijacks this negotiation and inserts itself into the negotiation as an agent acting on your behalf. So you authenticate to the Astaro which sets up a secure connection to you and then the Astaro authenticates out to the remote web site and sets up a secure connection to it.  All traffic is then encrypted from the remote site to the Astaro, Decrypted at the Astaro, checked for content, Re-encrypted and sent on to you where you de-encrypt it again and read it.

    The problems you are experiencing are because your browser has a list of 'trusted Root authorities' These are organisations that are trusted to sign and create certificates. Your Astaro is not in that trusted authority list and so when your browser sees a certificate signed by the Astaro, it says to itself "who the hell is that" and quite rightly throws you an alert to warn you that there is a 3rd party in the middle of your negotiation with the end site. 

    To get round this, you need to install the Astaro Proxy CA certificate in your trusted Root Authorities list.  You can download the Proxy CA from the HTTPS Proxy area of the Webadmin. When you open the certificate  in Windows Explorer, you will be asked to import it.  Just remember to change the location to which it is imported to be the “Trusted Root Authorities” list, as it will not default to that one.  Once in there, all of your certification issues will disappear.

    I hope this helps.

    NOW… I also have an issue, which I hope will be looked into very soon. I tried to do the above with the Trusted CA list in Firefox3.  FF3 refused to import this CA. It would not recognise the Astaro PKCS1#12 Container for the Trusted CA list and for the personal list, it recognised it but failed when the key was imported. Is this a problem with Firefox or a problem with the Astaro key?

    Any advice would be appreciated.

    JB
  • 0 in reply to Buggrit
    NOW… I also have an issue, which I hope will be looked into very soon. I tried to do the above with the Trusted CA list in Firefox3.  FF3 refused to import this CA. It would not recognise the Astaro PKCS1#12 Container for the Trusted CA list and for the personal list, it recognised it but failed when the key was imported. Is this a problem with Firefox or a problem with the Astaro key?

    Any advice would be appreciated.

    JB


    Have you made a master password in FF3? If not make one (make a complicated password) write it down as you will need it from time to time. You should be prompted for the password when you install the cert.


    Jim

    If I were to regenerate the signing CA, can I type anything in the "Organization" box, or does the "Organization have to be a dns resolvable host name? Or course I would have to reinstall the new cert...
Reply
  • 0 in reply to Buggrit
    NOW… I also have an issue, which I hope will be looked into very soon. I tried to do the above with the Trusted CA list in Firefox3.  FF3 refused to import this CA. It would not recognise the Astaro PKCS1#12 Container for the Trusted CA list and for the personal list, it recognised it but failed when the key was imported. Is this a problem with Firefox or a problem with the Astaro key?

    Any advice would be appreciated.

    JB


    Have you made a master password in FF3? If not make one (make a complicated password) write it down as you will need it from time to time. You should be prompted for the password when you install the cert.


    Jim

    If I were to regenerate the signing CA, can I type anything in the "Organization" box, or does the "Organization have to be a dns resolvable host name? Or course I would have to reinstall the new cert...
Children
  • 0 in reply to Jim Tagert
    Error from paypal:

    Secure Connection Failed

    An error occurred during a connection to www.paypal.com.

    Cannot communicate securely with peer: no common encryption algorithm(s).

    (Error code: ssl_error_no_cypher_overlap)

    The page you are trying to view can not be shown because the authenticity of the received data could not be verified.

    Error from Ebay signin is exactly the same...

    Ideas?


    Jim
  • 0 in reply to Jim Tagert
    [QUOTE=Jim Tagert;106450]Have you made a master password in FF3? If not make one (make a complicated password) write it down as you will need it from time to time. You should be prompted for the password when you install the cert.

    Thanks for the suggestion Jim, 

    Yes I have set a Master Password. I even changed it to make sure there was no corruption.  However, when I checked, it appears this problem is happening on all of my Firefox clients. FF just does not recognise the X509 certificate at all.  It is in a PKCS#12 container as it should be.  

    Does anyone know what file type FF expects to see for a Root CA?

    JB
  • 0 in reply to Buggrit
    Sorry, I forgot about you...

    FF3 handles Certs differtly than previous versions. They think that they have got the cats meow with how they have chosen to handle private/personal certs. I think not. Though it does make security sense with regard to spoofing a trust server, however, if I know the cert and wish to trust it, hence saving me bunches of money in the long run, then I should be able to do it.

    If the cert does not verify with any of the trust servers listed, then you get the warning message.

    You cannot add a trusted server. I have not been able to figure out away to manually add a servers to their list, yet. But of course if I do they might break it with the next update release...

    The extension named "Perspectives" does not work. I think the folks at MIT tried to make a work around extension. The attempt failed. At least during my testing.

    Opera has a similar problem, however, the GUI is much more user friendly.



    Jim
  • 0 in reply to Jim Tagert
    Jim,

    I have notice alot of activity in .NET toward the Berkley Sockets with reguard to cloud security. Dont know if this helps. Seems like we are moving back to the old DEC and AS400 socket archetecture.

    Pappaous