Problem with HTTPS scanning exceptions

Hi All

I face the same problem when I add an exception for windows update, and specify to skip SSL scanning , certificate trust check and certificate date check, but this did not worked , windows update work only if I disable scan https traffic in the Global mode and/or in profile mode,
OR when I use transparent mode skiplist in advanced tab.

Note: my operation mode is transparent mode with authentication.
Thanks all.

Hi All

I face the same problem when I add an exception for windows update, and specify to skip SSL scanning , certificate trust check and certificate date check, but this did not worked , windows update work only if I disable scan https traffic in the Global mode and/or in profile mode,
OR when I use transparent mode skiplist in advanced tab.

Note: my operation mode is transparent mode with authentication.
Thanks all.

you have to install the astaro certificate on each machine behind the astaro.  Otherwise the certificate chain fails and then so does https.

Hi William,
   I installed web proxy certificate in all network machines , but I still faced the problem of that the skip SSL check,certificate trust check and certificate date check  exceptions still  does not work .......any advice.
Thanks

I think https scanning exceptions have been a problem for a loooong time.  trying turning off https scanning and see if things improve.

But what is the benefit of using https scanning exception for a particular URL if I turn off HTTPS scanning at all.

if the exceptions don't work or your entire https experience is degraded what's the benefit of https scanning to you?  Try turning https scanning off and see if things improve..is they do then you have a choice to make.

I'm having the same issue with the HTTPS/SSL scanning with Windows Update:

- If I have HTTPS scanning on, regardless of what exceptions, skiplists, etc, I make for windowsupdate.com and microsoft.com, Windows Update fails manually on Windows XP, SP3, patched except for the latest round.
- I have the root cert from my ASL gateway installed on all machines; it's verified working with the HTTPS scanning turned on.  Test verified by going to a confirmed HTTPS site prior to installing the cert on the XP machine and getting the warning, then installing the cert and no warning, and of course verifying the cert once on the site.
- If I enable a "permit ip inside any" style allow-everything-outbound, this does -not- work if HTTPS scanning is enabled
- Turning off HTTPS scanning is necessary and sufficient for restoring Windows Update 

The specific error I get in Windows Update with HTTPS scanning enabled is:

"Your computer's date and time appear to be out of sync with an update certificate.  To fix this:
1. In Control Panel, open Date and Time Properties.
2. Ensure that the date and time are correct.

Read more about steps you can take to resolve this problem (error number 0x80072F8F) yourself."

What appears to be happening is two independent failures from the products/platforms involved:

1. Windows Update doesn't use the cert you install from Astaro that works fine for IE.  Note: I ran through all the other fixes Microsoft suggested, including something about turning off revocation list checking (seems bad, but I was troubleshooting).  That, or there's something about the cert that makes WU unhappy.
2. Astaro's exception / skip list is either not working or there's something it needs to skip that it's not for WU.

If there are no known fixes for #2 (assuming I'm using skiplists properly, though I already have it working fine to skip HTTPS checking on my wifi smartphone that won't take the cert...so...I guess I am) what's the best way to communicate this as a bug?

If there are known fixes, like a better exception rule or something, anyone know that?

Or...if this is a "Astaro is working fine, Windows is broke" type of thing, does anyone have any info on specifically what's going on and if there's a Windows-related resolution?

Thanks

There are several possible issues with HTTPS:

1. Windows uses multiple certificate stores. Just because internet explorer accepts a certificate does not mean that windows update does. See the section 'Web Security > HTTP/S > HTTPS CAs > Preventing HTTPS Problems' in the online help.

2. Depending on the ASG version you are using, there might be some bugs with the exception matching. These should be fixed in 8.102/8.103.

3. If you are using transparent mode, 'Matching these URLs' does not work properly for SSL; This is not so much a problem with the proxy but with the way SSL works (only transmitting the URL/hostname once the connection is encrypted). The online help says:

Note – When using Transparent mode with SSL scanning enabled, you need to enter the target domain(s) as IP addresses. Otherwise the exception will fail for technical reasons.

4. As you probably know, if you are using the 'Transparent mode skiplist', you to have to allow (packetfilter) HTTP/S traffic for the selected Hosts/Nets

Outstanding, thanks.  Just when you thought you checked every corner of the Online Help...heh.

Fortunately, suggestion #1 was all I needed to try...  For what it's worth, I am running 8.103.  Exceptions for other apps and sites do work for essentially HTTP traffic.  In this case, I'm curious still why the skip list didn't work, but the CA trusted root is working great.