Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 4047 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Proxy Certificate Woes

hewbert007
Greetings,

We're trying to enable HTTPS SSL traffic scanning with a generated certificate, but we're having an issue that I can't seem to find much on.

This is version 7.509

We've gone to Web Security > HTTP/S -> HTTPS CAs  and regenerated a signing CA.

Now, when attempting to visit any site using SSL, we're prompted with errors such as:

Firefox:
Cannot communicate securely with peer: no common encryption algorithm(s).

(Error code: ssl_error_no_cypher_overlap)


Chrome:

Error 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unknown error.


Expected behavior:  Asked to trust the connection and make an exception.

We've imported the CA to the client machine and get the same issue.  This looks to be unrelated to that.

If anyone has any clues on where I might look, it would be greatly appreciated.

Thanks.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    What error, if any, do you get with IE?  What versions of Firefox & Chrome?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I have received errors similar to this when we had to regenerate new Certs for some of our ASG's.  Try doing this on your clients Firefox Clients:
    Tools/Options/Advanced/Encryrption/View Certificates

    Check every entry under Servers and Signing Authorities and delete all that could possibly related to your ASG's.

    Then  re-import your new cert by first going to an SSL page to get the proxied cert.
  • 0 in reply to skydiver
    Thanks for the replies.

    Hi, and welcome to the User BB!

    What error, if any, do you get with IE? What versions of Firefox & Chrome?

    Cheers - Bob


    Believe it or not, IE is pretty scarce on our network, so I didn't test it.  Unfortunately, I won't be able to test it for a little while, either.


    I have received errors similar to this when we had to regenerate new Certs for some of our ASG's. Try doing this on your clients Firefox Clients:
    Tools/Options/Advanced/Encryrption/View Certificates

    Check every entry under Servers and Signing Authorities and delete all that could possibly related to your ASG's.

    Then re-import your new cert by first going to an SSL page to get the proxied cert.


    This sounds like a good possibility.  I did recently regenerate the certificate, as the configuration was incorrect before.  This is our first go at HTTPS filtering, though.

    I'll test this as soon as I can and post back.