Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 17414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Scanning HTTPS: How/Where to get/import SSL Web Filter Certificate?

UweT
We are using 2x Sophos UTM425 in our school. I also handles the entire school's web filter need.

Unfortunately and up to the present day we do not scan HTTPS web sites. This becomes a problem more and more due to many providers switch to HTTPS (Google...). 

We need to handle that as well.

BUT we do NOT want every user being confronted with a "unsecure SSL access" browser page. They shall use their devices in the future as they are doing now (esp. BYOD users). 

What are the exact steps to buy and import an/which SSL certificate that is being signed by an official CA? We are located in Germany. So if you have recommendations even?

Big thank you in advance!
Uwe


This thread was automatically locked due to age.
  • 0
    there is no need to buy a certificate, only to import the UTM certificate on users browsers
    or you can send it from active directory if you have a domain controller
    In Web Protection go to HTTPS CAs, there you can generate and download the certificate
  • 0
    Or, you can switch to a Standard mode instead of Transparent.  That means that you will control all of the Services in 'Allowed target services' on the 'Advanced' tab.  This isn't any less work than scanning SSL, but it will be easier for the BYOD folks than loading the cert into their devices.

    The easiest way to transition is to create a Profile in Standard mode and then evolve it by bringing on a few at a time before you roll it out to everyone and disable the Firewall rule that allows Web Surfing traffic.

    Cheers - Bob
  • 0
    Hi Folks

    Excuse my belated response on this. The case is still important.

    @oldeda: I don't want students/BYOD users (own devices) to download/configure anything if there is another chance to handle it.

    @BAlfson: Standard mode means the users would have to configure a proxy on their devices?

    Can't we just purchase a public certificate and none of the users will be interrupted with any message in the browser? What kind of certificate would be needed?


    Thank you for your effort on this!
  • 0
    redirecting service is untested from me... someone was doing this tests
    But as far as i know you can't
  • 0
    Uwe, TANSTAAFL. [;)]

    In order to control HTTPS traffic in Transparent mode, you have to select to scan SSL.  This requires loading the CA from the UTM into the clients' browsers, and, for most, also loading the certificate into the Root Trusted Certificates in the computer.

    In order to use Standard mode, the clients must be set to use the proxy.  This is easier than scanning SSL in Transparent.  The complication is that the 'Transparent mode skip' lists also must be added to Exceptions in the browsers as that list doesn't apply in Standard mode.

    Several of us here have worked on a document I maintain, "Configure HTTP Proxy for a Network of Guests" that's available in English and German.  If you'd like a copy, email me: my username here @ the domain in my signature.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    I know this post is a little old now but for anyone else may come across this via Google needs to know that using Standard mode without SSL Scanning means it'll block only at URL level not the traffic within. 

    So for example if you blocked https://www.facebook.com that would work ok (i.e. block it) but if you want to block all .exe on any https website allowed then it wont work because it's not inspecting traffic that's encrypted. A good example is trying to download the eicar test files under https.

    Thanks
  • 0
    You may want to note that in 9.2 we are introducing a new option for Transparent Mode that will do domain-level protection of HTTPS sites, similar to what Standard Mode does (and described by sgict).

    In other words, in 9.2 if you have HTTPS "URL Filtering Only" it will block you from visiting websites in the categories you select.  Users will see this as a certificate error, and if they continue past the warning a correct block page is displayed.  For all other (allowed) HTTPS traffic there is no certificate needed.
  • 0
    Hi Michael

    This is what we neeed! (https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46200) Isn't it?

    Do I understand you correctly - let me repeat:
    Currently we are chiefly using the webfilter in transparent mode (our BYOD WLAN VLANs) and standard mode (AD connected, school domain VLANs). But with the new 9.2 SNI feature we don't need to change anything but just enable a new option called "HTTPS URL Filtering Only" and it will automatically filter (URL) categories on HTTPS basis?

    If so: that rocks! Why didn't you come up with that earlier? ;-)

    Also if so: When will it be available?? We urgently need this feature to be honest.
  • 0
    I will reply to the Youtube issue in the other thread.

    Yes, it will filter categories that are based on domain name (not based on domain and path).

    When a user goes to an HTTPS site that they are not allowed to go to they will receive a block page.  That block page uses the UTM's certificate, which means they if they don't have the CA installed they will get a certificate error.  So you don't need to install the CA for normal usage but be aware you'll see cert errors when we need to show block pages.

    If all goes well UTM 9.200 will be in soft release (eg not beta) later this week.