Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3259 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy Certificate Question

ezhess
I already have a wildcard certificate for our domain and I'm currently using it for the admin and user portal of the UTM, which is workign great.  Is it possible to use the same certificate for the Web Proxy HTTPS scanning so that end users don't get a warning and don't have to import a certificate from the UTM?

If that is not possbile, what are you doing for Public wifi networks?  I would still like to scan HTTPS so that employees don't go on the Public WiFi to get around the web filter; but obviously outsiders visiting the office are not going to have the UTM certificate installed and will always get certificate warnings.


This thread was automatically locked due to age.
  • 0
    An wildcard certificate doesn't work for the SSL scan because the entire CN (common name) changes, not only the wildcard part. You need to make the browser trust the CA which is signing the fake certificate.

    So, you cannot scan ssl on the public wifi without freaking out your visitors.

    I would like to see other opinions about this cenario too.

    []s
  • 0
    From the in-line help/admin guide:

    To facilitate supplying client PCs with the proxy CA certificate, users can download the certificate themselves via http://passthrough.fw-notify.net/cacert.pem and install it in their browser.
  • 0
    d00b, thanks for the explanation.  I would love to hear what others are doing on public WiFi.  Maybe I'm giving end users too much credit, but I could see some of them connecting to the public wifi and using HTTPS sites to get around the blocks on the private network.
  • 0
    This needs more clarity from a long standing operator, but me thinks that the web filtering setting for "Anonymizers" and "Anonymizer Utilities" under the IT category of URL filtering would take care of this. This should take care of those nasty proxy servers on the net that keep you from seeing what people are doing [[:)]].

    Public wifi needs a captive portal to make you legally capable of enforcing rules, and you best not be allowing smtp outbound unless you're looking to get blacklisted. [[:)]]
  • 0
    using HTTPS sites to get around the blocks on the private network

    A good reason to delete the 'Allow : Internal (Network) -> Web Surfing -> Any' rule created by the the installation wizard after getting everyone onto the Standard proxy.

    best not be allowing smtp outbound unless you're looking to get blacklisted

    A good reason to delete the 'Allow : Internal (Network) -> Email Messaging -> Any' rule created by the the installation wizard and to masq any allowed traffic for guests with an alternate public IP.

    Cheers - Bob