Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 6030 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with HTTPS scanning exceptions

cryptochrome
Hi,

I have enabled HTTPS scanning and defined some exceptions for that. When accessing one of the sites that has an exception, the log clearly shows that the exception is working:

url="www.google.com/.../corner_tl.gif" exceptions="ssl,certcheck,certdate"

However, the browser is still presented with the certificate of the Astaro instead of the original Google certificate. 

What am I missing here?

Thanks
Sascha


This thread was automatically locked due to age.
Parents
  • 0
    if the exceptions don't work or your entire https experience is degraded what's the benefit of https scanning to you?  Try turning https scanning off and see if things improve..is they do then you have a choice to make.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    I'm having the same issue with the HTTPS/SSL scanning with Windows Update:

    - If I have HTTPS scanning on, regardless of what exceptions, skiplists, etc, I make for windowsupdate.com and microsoft.com, Windows Update fails manually on Windows XP, SP3, patched except for the latest round.
    - I have the root cert from my ASL gateway installed on all machines; it's verified working with the HTTPS scanning turned on.  Test verified by going to a confirmed HTTPS site prior to installing the cert on the XP machine and getting the warning, then installing the cert and no warning, and of course verifying the cert once on the site.
    - If I enable a "permit ip inside any" style allow-everything-outbound, this does -not- work if HTTPS scanning is enabled
    - Turning off HTTPS scanning is necessary and sufficient for restoring Windows Update 

    The specific error I get in Windows Update with HTTPS scanning enabled is:

    "Your computer's date and time appear to be out of sync with an update certificate.  To fix this:
    1. In Control Panel, open Date and Time Properties.
    2. Ensure that the date and time are correct.

    Read more about steps you can take to resolve this problem (error number 0x80072F8F) yourself."

    What appears to be happening is two independent failures from the products/platforms involved:

    1. Windows Update doesn't use the cert you install from Astaro that works fine for IE.  Note: I ran through all the other fixes Microsoft suggested, including something about turning off revocation list checking (seems bad, but I was troubleshooting).  That, or there's something about the cert that makes WU unhappy.
    2. Astaro's exception / skip list is either not working or there's something it needs to skip that it's not for WU.

    If there are no known fixes for #2 (assuming I'm using skiplists properly, though I already have it working fine to skip HTTPS checking on my wifi smartphone that won't take the cert...so...I guess I am) what's the best way to communicate this as a bug?

    If there are known fixes, like a better exception rule or something, anyone know that?

    Or...if this is a "Astaro is working fine, Windows is broke" type of thing, does anyone have any info on specifically what's going on and if there's a Windows-related resolution?

    Thanks
Reply
  • 0 in reply to William Warren
    I'm having the same issue with the HTTPS/SSL scanning with Windows Update:

    - If I have HTTPS scanning on, regardless of what exceptions, skiplists, etc, I make for windowsupdate.com and microsoft.com, Windows Update fails manually on Windows XP, SP3, patched except for the latest round.
    - I have the root cert from my ASL gateway installed on all machines; it's verified working with the HTTPS scanning turned on.  Test verified by going to a confirmed HTTPS site prior to installing the cert on the XP machine and getting the warning, then installing the cert and no warning, and of course verifying the cert once on the site.
    - If I enable a "permit ip inside any" style allow-everything-outbound, this does -not- work if HTTPS scanning is enabled
    - Turning off HTTPS scanning is necessary and sufficient for restoring Windows Update 

    The specific error I get in Windows Update with HTTPS scanning enabled is:

    "Your computer's date and time appear to be out of sync with an update certificate.  To fix this:
    1. In Control Panel, open Date and Time Properties.
    2. Ensure that the date and time are correct.

    Read more about steps you can take to resolve this problem (error number 0x80072F8F) yourself."

    What appears to be happening is two independent failures from the products/platforms involved:

    1. Windows Update doesn't use the cert you install from Astaro that works fine for IE.  Note: I ran through all the other fixes Microsoft suggested, including something about turning off revocation list checking (seems bad, but I was troubleshooting).  That, or there's something about the cert that makes WU unhappy.
    2. Astaro's exception / skip list is either not working or there's something it needs to skip that it's not for WU.

    If there are no known fixes for #2 (assuming I'm using skiplists properly, though I already have it working fine to skip HTTPS checking on my wifi smartphone that won't take the cert...so...I guess I am) what's the best way to communicate this as a bug?

    If there are known fixes, like a better exception rule or something, anyone know that?

    Or...if this is a "Astaro is working fine, Windows is broke" type of thing, does anyone have any info on specifically what's going on and if there's a Windows-related resolution?

    Thanks
Children
No Data
Cookie Information Banner