Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 3788 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG v8.1 Transparent Mode with Auth does not check "Skip certificate checks"

Ralf-vie
Hello ! 

Just updated my ASG to v8.1:

I use for one network http and https Transparent Mode with Authentication (Scan HTTPS (SSL) traffic enabled !). 

If I try to access a https website located in the "Skip certificate checks" list within the https Exception-page, I get following error: 

...exceptions="" error="Failed to verify server certificate"

If try the same webpage with standard mode everything works fine. 

Please help & kind regards 

Ralf


This thread was automatically locked due to age.
  • 0
    There are some pages that just don't play well with Astaro HTTP proxy in transparent mode, even with exceptions.  Go to the Advanced tab and add the problem site to the Transparent Mode Skiplist.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hello ! 

    Right now I use the Transparent Model Skiplist to deny access to a specific network !

    I have the problem with all Webpages listed in the "Skip certificate checks list". 

    Kind regards 

    Ralf
  • 0
    Hello ! 

    Just updated to 8.101 and having the same problem. 

    severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="xx.xx.xx.xx" dstip="" user="" statuscode="502" cached="0" profile="zzz" filteraction=" ()" size="0" time="0 ms" request="0xacc5a40" url="yy.yy.yy.yy" exceptions="" error="Failed to verify server certificate"

    I tried following workaround but with no success: 

    - put certificate in trusted CAs -> no change
    - Enable Proxy on the client in the network where transparent proxy with authentication is enabled -> no change
    - Transparent Mode Skiplist ; is not an option for me
    - deleted "Skip certificate checks" list and recreated it. (in Standard mode) 

    I saw in the logline above that no authenticated user is listed, but the right profile. 

    For me it looks like a bug !

    Any advice ?

    Is it possible to open a "free" service request with a homelicense of ASG ?? What´s included in "Standard Support" ?

    Kind regards 

    Ralf
  • 0
    ...because I´m writing here alone in this thread....

    just 6 more hours testing 8.100 and 8.101

    There is something wrong with the https proxy (transparent and standard mode) 

    In the logs no DNS records are shown; only the ip addresses, skip list no working and it seems that 8.1xx is not using the ASG internal CA to encrypt the traffic from the client to ASG,... 

    Doing a frest clean installation of 8.003 works well. 
    After updating to 8.1xx problems with https still occurs. 

    So an update problem can be excluded.

    Ralf
  • 0 in reply to Ralf-vie
    Hi,
    just updated to ASG v8 series, now v8.100.
    All https sites seems to be problem[:S]: I have been using transparent mode.
    Switched to standard mode - everything OK, incl https scanning.[:)]

    /Regards
  • 0
    Hello ! 

    Also in Standard Mode some https request do not work. 

    Am I the only one who has this problem ? 

    Kind regards 

    Ralf
  • 0 in reply to Ralf-vie
    Ralf,

    I am having the same issue here on v8.102.
    Trying to connect to an HTTPS site, SSL scanning starts and fails to verify the site's certificate in transparent mode. 

    Just wanted to state that in case that Astaro developers come around :-)

    Steffen
  • 0
    Sorry, I don't have the issue any more. Talking about things often helps. Error was on the server's side.
  • 0 in reply to steffenkoelsch
    Attempting to access the Cisco Netacad page and it does not work while HTTPS Scanning is enabled. Go to site here and click login on the right hand side. Page times out with no message from Astaro to the client and the server has the following in logs: 

    2011:04:06-00:28:46 gateway httpproxy[5796]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x95524e8" function="ssl_connect" file="ssl.c" line="1015" message="ssl_handshake: Connection reset by peer"


    2011:04:06-00:23:53 gateway httpproxy[5796]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.188.2" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x9409628" url="72.163.6.223" exceptions="" error="Failed to verify server certificate"


    Running:
    Firmware version: 8.102
    Pattern version: 21650
  • 0
    Hello Pikey18 ! 

    I get the  "Status: unable to get local issuer certificate"; -> If I add the certificate to the "Skip certificate checks" list", it works. 

    Try to use proxy port 8080 for SSL Traffic in Transparent Mode.

    For me this no workaround because some apps will have no option to use a proxy port. 
    Also iPhone/iPad do not have this option for iCal and Adressbook sync. 

    I hope this will be fixed within the next release,.... 

    Cheers, 
    Ralf
Cookie Information Banner