Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 17416 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Scanning HTTPS: How/Where to get/import SSL Web Filter Certificate?

UweT
We are using 2x Sophos UTM425 in our school. I also handles the entire school's web filter need.

Unfortunately and up to the present day we do not scan HTTPS web sites. This becomes a problem more and more due to many providers switch to HTTPS (Google...). 

We need to handle that as well.

BUT we do NOT want every user being confronted with a "unsecure SSL access" browser page. They shall use their devices in the future as they are doing now (esp. BYOD users). 

What are the exact steps to buy and import an/which SSL certificate that is being signed by an official CA? We are located in Germany. So if you have recommendations even?

Big thank you in advance!
Uwe


This thread was automatically locked due to age.
Parents
  • 0
    Uwe, TANSTAAFL. [;)]

    In order to control HTTPS traffic in Transparent mode, you have to select to scan SSL.  This requires loading the CA from the UTM into the clients' browsers, and, for most, also loading the certificate into the Root Trusted Certificates in the computer.

    In order to use Standard mode, the clients must be set to use the proxy.  This is easier than scanning SSL in Transparent.  The complication is that the 'Transparent mode skip' lists also must be added to Exceptions in the browsers as that list doesn't apply in Standard mode.

    Several of us here have worked on a document I maintain, "Configure HTTP Proxy for a Network of Guests" that's available in English and German.  If you'd like a copy, email me: my username here @ the domain in my signature.

    Cheers - Bob
Reply
  • 0
    Uwe, TANSTAAFL. [;)]

    In order to control HTTPS traffic in Transparent mode, you have to select to scan SSL.  This requires loading the CA from the UTM into the clients' browsers, and, for most, also loading the certificate into the Root Trusted Certificates in the computer.

    In order to use Standard mode, the clients must be set to use the proxy.  This is easier than scanning SSL in Transparent.  The complication is that the 'Transparent mode skip' lists also must be added to Exceptions in the browsers as that list doesn't apply in Standard mode.

    Several of us here have worked on a document I maintain, "Configure HTTP Proxy for a Network of Guests" that's available in English and German.  If you'd like a copy, email me: my username here @ the domain in my signature.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi,

    I know this post is a little old now but for anyone else may come across this via Google needs to know that using Standard mode without SSL Scanning means it'll block only at URL level not the traffic within. 

    So for example if you blocked https://www.facebook.com that would work ok (i.e. block it) but if you want to block all .exe on any https website allowed then it wont work because it's not inspecting traffic that's encrypted. A good example is trying to download the eicar test files under https.

    Thanks