Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 7934 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Scanning HTTPS (SSL) Traffic causes Cert Warning

scmiles
7.400 and 7.401, when I enable "Scan HTTPS (SSL) Traffic" and then browse to an HTTPS site, like https://www.paypal.com, I get a cert error, and viewing the details shows this:

Common Name (CN) = www.paypal.com
Organization (O) = PayPal, Inc.
Organizational Unit (OU) = Information Systems

The strange part is this, under the Issued By

Common Name (CN) = OurComany Proxy CA
Organization (O) = OurCompany Name
Organizational Unit (OU) = Not part of certificate.

Now obviously this info is causing the error, when not using the Scan HTTPS option the cert issued by section is normal like this:

Common Name (CN) = VeriSign Class 3 Extended Validation SSL SGC CA
Organization (O) = VeriSign, Inc.
Organizational Unit (OU) = VeriSign Trust Network.

Any ideas?


This thread was automatically locked due to age.
  • 0
    When you are in the HTTP/S item select the "HTTPS CAs" tab. Since the firewall handles all https you need to install a Signing CA on each machine to prevent them from getting the error. It can be a pain, but is well worth it in the long run.

    Oh course if someone has an easier way of doing this than touching each machine or telling the users to do it through the user panel I would be VERY interested.

    Take care,
    Ben
  • 0 in reply to BigBen
    Oh course if someone has an easier way of doing this than touching each machine or telling the users to do it through the user panel I would be VERY interested.


    So would all the phishers in the world.
    [:P]

    Barry
  • 0 in reply to BigBen
    That is what was thinking, but not 100%.  I can push that out via GPO in Active Directory.

    When you are in the HTTP/S item select the "HTTPS CAs" tab. Since the firewall handles all https you need to install a Signing CA on each machine to prevent them from getting the error. It can be a pain, but is well worth it in the long run.

    Oh course if someone has an easier way of doing this than touching each machine or telling the users to do it through the user panel I would be VERY interested.

    Take care,
    Ben
  • 0 in reply to scmiles
    Yep, GPO is definately the way to go.  Either 1)  create and link the GPO, then wait a minimum of 90 minutes (GPO refresh time) to turn on HTTPS scanning on your Astaro box, or you can make the process run much quicker if you have some remote mechanism to kick off a gpupdate on all the client systems.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to BigBen
    When you are in the HTTP/S item select the "HTTPS CAs" tab. Since the firewall handles all https you need to install a Signing CA on each machine to prevent them from getting the error. It can be a pain, but is well worth it in the long run.


    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim
  • 0 in reply to Jim Tagert
    I am still seeing the error as well, and I have confirmed the Signing CA p12 file from the "Web Security » HTTP/S" page was correctly stored from the GPO into the Trusted Root Certification Authorities store for the computer.

    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim
  • 0 in reply to Jim Tagert
    Did not work for me. Paypal is a gargled mess and it continues to say: "www.paypalobjects.com:443 uses an invalid security certificate".

    Also..."services.addons.mozilla.org:443 uses an invalid security certificate" 

    Someone please educate me on how this works.


    Jim

    The HTTPS Scanning works by acting as a 'man-in-the-middle'. Normally, when your browser requests the secure site, what happens is that the browser and the site do a little handshaking and negotiate a secure SSL connection.  When HTTPS scanning is enabled, the Astaro hijacks this negotiation and inserts itself into the negotiation as an agent acting on your behalf. So you authenticate to the Astaro which sets up a secure connection to you and then the Astaro authenticates out to the remote web site and sets up a secure connection to it.  All traffic is then encrypted from the remote site to the Astaro, Decrypted at the Astaro, checked for content, Re-encrypted and sent on to you where you de-encrypt it again and read it.

    The problems you are experiencing are because your browser has a list of 'trusted Root authorities' These are organisations that are trusted to sign and create certificates. Your Astaro is not in that trusted authority list and so when your browser sees a certificate signed by the Astaro, it says to itself "who the hell is that" and quite rightly throws you an alert to warn you that there is a 3rd party in the middle of your negotiation with the end site. 

    To get round this, you need to install the Astaro Proxy CA certificate in your trusted Root Authorities list.  You can download the Proxy CA from the HTTPS Proxy area of the Webadmin. When you open the certificate  in Windows Explorer, you will be asked to import it.  Just remember to change the location to which it is imported to be the “Trusted Root Authorities” list, as it will not default to that one.  Once in there, all of your certification issues will disappear.

    I hope this helps.

    NOW… I also have an issue, which I hope will be looked into very soon. I tried to do the above with the Trusted CA list in Firefox3.  FF3 refused to import this CA. It would not recognise the Astaro PKCS1#12 Container for the Trusted CA list and for the personal list, it recognised it but failed when the key was imported. Is this a problem with Firefox or a problem with the Astaro key?

    Any advice would be appreciated.

    JB
  • 0 in reply to Buggrit
    NOW… I also have an issue, which I hope will be looked into very soon. I tried to do the above with the Trusted CA list in Firefox3.  FF3 refused to import this CA. It would not recognise the Astaro PKCS1#12 Container for the Trusted CA list and for the personal list, it recognised it but failed when the key was imported. Is this a problem with Firefox or a problem with the Astaro key?

    Any advice would be appreciated.

    JB


    Have you made a master password in FF3? If not make one (make a complicated password) write it down as you will need it from time to time. You should be prompted for the password when you install the cert.


    Jim

    If I were to regenerate the signing CA, can I type anything in the "Organization" box, or does the "Organization have to be a dns resolvable host name? Or course I would have to reinstall the new cert...
  • 0 in reply to Jim Tagert
    Error from paypal:

    Secure Connection Failed

    An error occurred during a connection to www.paypal.com.

    Cannot communicate securely with peer: no common encryption algorithm(s).

    (Error code: ssl_error_no_cypher_overlap)

    The page you are trying to view can not be shown because the authenticity of the received data could not be verified.

    Error from Ebay signin is exactly the same...

    Ideas?


    Jim
  • 0 in reply to Jim Tagert
    [QUOTE=Jim Tagert;106450]Have you made a master password in FF3? If not make one (make a complicated password) write it down as you will need it from time to time. You should be prompted for the password when you install the cert.

    Thanks for the suggestion Jim, 

    Yes I have set a Master Password. I even changed it to make sure there was no corruption.  However, when I checked, it appears this problem is happening on all of my Firefox clients. FF just does not recognise the X509 certificate at all.  It is in a PKCS#12 container as it should be.  

    Does anyone know what file type FF expects to see for a Root CA?

    JB