Encryption Error Using Mozy Backup

Bump to top

I am using Astaro in Transparent mode. I have installed the certificates on the desktop and windows update is working. However, when I try and use Mozy Backup, I get an encryption error. I know this is being caused by Astaro but I haven't been able to figure out why.

Anyone have any thoughts?

Thanks

are you using ssl scanning?

are you using ssl scanning?

Yes I am, doesn't it have to be configured that way to block https websites?

no that just scans https sites it doesn't block them..however because you are intercepting ssl mozy can detect this and is rightfully giving you an ssl error.  try disabling ssl(https) scanning and see if that fixes the issue.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/p/43536/154181#154181

no that just scans https sites it doesn't block them..however because you are intercepting ssl mozy can detect this and is rightfully giving you an ssl error.  try disabling ssl(https) scanning and see if that fixes the issue.

http://www.astaro.org/99129-post19.html

Okay interesting, I will try it. What is the particular use case that I would want to use this functionality?

as far as i am concerned you don't..[:)]

I disabled SSL Scanning, and when I do that, you can't go to any website that uses https.

Does that make sense?

Create a packet filter rule 'Internal (Network) -> Web Surfing -> Internet : Allow'.  Now, if that lets you use Mozy, you have several choices:

• Continue to use the proxy for HTTP only.
  
• Enable SSL Scanning and put Mozy into the 'Transparent mode skiplist' on the 'Advanced' tab.
  
• Put the proxy into "Standard" mode, point your browser at the IP of "Internal (Address)" on port 8080 and tell your browser to skip the proxy for local IPs.  Also tell it to skip Mozy if you enable SSL scanning

Cheers - Bob
PS The last option is the most-secure, plus, if ever you plan on using one of the Authentication modes (shows user names in the HTTP log and in the reports), you have to do the same thing with your local browser settings.

ssl scanning is a double edged sword: the ASG is effectively doing a man in the middle attack on your communication with the target ssl secured website.

The premise with an ssl secured site with a valid certificate is that you trust it because the issuer of the certificate trusts the issued organisation. Of course that's not bulletproof but at least you know who you're dealing with.
On the other hand those sites can be cracked, too, so the content they serve is not necessarily secure.
Then the third point is that there is certain ssl secured communcation you would not want overheard (or worse, cached) even by your firewall, for example online banking.

Your choice [:)] .

Then the third point is that there is certain ssl secured communcation you would not want overheard (or worse, cached) even by your firewall, for example online banking.

barkas, don't you think the Astaro is the least-likely place for someone to position an exploit to get banking information?

I do agree about the cacheing though, and I always recommend turning it off in the Astaro - I think the potential gain is minimal because of the variety of what's downloaded and the speed of downloads.  The only place I ever saw where cacheing made sense is in a car dealership where the salesmen are constantly watching training videos about the cars they're trying to sell.

Folks should use the free WSUS if they have any number of PCs that receive Windowsupdate.  There are similar tools for most regularly-updated software that should minimize the need for cacheing.

Cheers - Bob
PS Your thought about SSL cacheing gives me an idea for a feature suggestion: Checkbox to prevent cacheing HTTPS traffic.
PPS Ahhh, as Sascha Paris pointed out in a comment on my suggestion, this capability already exists in the current version.  I know that wasn't there in 7.3xx, but I don't know if it showed up in 7.4 or 7.5.