Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 6028 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with HTTPS scanning exceptions

cryptochrome
Hi,

I have enabled HTTPS scanning and defined some exceptions for that. When accessing one of the sites that has an exception, the log clearly shows that the exception is working:

url="www.google.com/.../corner_tl.gif" exceptions="ssl,certcheck,certdate"

However, the browser is still presented with the certificate of the Astaro instead of the original Google certificate. 

What am I missing here?

Thanks
Sascha


This thread was automatically locked due to age.
Parents
  • 0
    There are several possible issues with HTTPS:

    1. Windows uses multiple certificate stores. Just because internet explorer accepts a certificate does not mean that windows update does. See the section 'Web Security > HTTP/S > HTTPS CAs > Preventing HTTPS Problems' in the online help.

    2. Depending on the ASG version you are using, there might be some bugs with the exception matching. These should be fixed in 8.102/8.103.

    3. If you are using transparent mode, 'Matching these URLs' does not work properly for SSL; This is not so much a problem with the proxy but with the way SSL works (only transmitting the URL/hostname once the connection is encrypted). The online help says:

    Note – When using Transparent mode with SSL scanning enabled, you need to enter the target domain(s) as IP addresses. Otherwise the exception will fail for technical reasons.


    4. As you probably know, if you are using the 'Transparent mode skiplist', you to have to allow (packetfilter) HTTP/S traffic for the selected Hosts/Nets
  • 0 in reply to ulmi
    Outstanding, thanks.  Just when you thought you checked every corner of the Online Help...heh.

    Fortunately, suggestion #1 was all I needed to try...  For what it's worth, I am running 8.103.  Exceptions for other apps and sites do work for essentially HTTP traffic.  In this case, I'm curious still why the skip list didn't work, but the CA trusted root is working great.
Reply
  • 0 in reply to ulmi
    Outstanding, thanks.  Just when you thought you checked every corner of the Online Help...heh.

    Fortunately, suggestion #1 was all I needed to try...  For what it's worth, I am running 8.103.  Exceptions for other apps and sites do work for essentially HTTP traffic.  In this case, I'm curious still why the skip list didn't work, but the CA trusted root is working great.
Children
No Data
Cookie Information Banner