Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 13143 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https scanning error after upgrade 9.006-005 --> 9.100016

ASTARO_SC
After upgrade to 9.100016 i got https scanning errors which worked perfecly before. (added 2 examples which came from VeriSign Class 3 Extended Validation SSL SGC CA)

-While trying to retrieve the URL:
https://www.postbank.de/ (Add exception for this URL)

-unable to get local issuer certificate
-Issuer
 /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA 

www.postbank.de
www.ebay.de --> (error occurs at login at https siide)


Other https: sides works ok !!!
Can anybody else confirm this as an astaro bug, Verisign bug ?

Best regards Stefan


This thread was automatically locked due to age.
  • 0
    What happens if you reboot again?

    Cheers - Bob
  • 0 in reply to BAlfson
    What happens if you reboot again?

    Cheers - Bob


    Hallo,

    the postbank-link and ebay is working now, but this link https://online.akbank.de/onlinebanking/de/Login.html say input/output error and the requested Url can not retrieved

    cheers schwable
  • 0
    Hi Bob

    I just rebooted the Firewall and tested 
    www.postbank.de and 
    www.ebay.de
    the error remains the same
    (unable to get local issuer certificate)
    Any idea how to trace this behaviour ?

    Regards

    Stefan

    PS: for info, i have two wan uplink interfaces
  • 0
    Hallo,

    this link https://online.akbank.de/onlinebanking/de/Login.html say input/output error and the requested Url can not retrieved.

    The https-proxy is standard mode. First connect to https://postbank.de there was a failure in the certificate, but after reboot the certificate was accept.

    The Live-Protokol Webfilter:

    2013:05:16-17:02:58 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe43b388" function="ssl_log_errors" file="ssl.c" line="79" message="S 217.169.192.101: 3907820400:error:1408F119:SSL routines:SSL3_GET_RECORD[:D]ecryption failed or bad record mac:s3_pkt.c:484:"
    2013:05:16-17:02:58 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe43b388" function="ssl_connect" file="ssl.c" line="1304" message="ssl_handshake: Input/output error"
    2013:05:16-17:02:58 manta httpproxy[5302]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.0.0.220" dstip="217.169.192.101" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2486" request="0xe43b388" url="online.akbank.de/.../Banking"
    2013:05:16-17:02:58 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe43b388" function="ssl_log_errors" file="ssl.c" line="79" message="S 217.169.192.101: 3907820400:error:1408F119:SSL routines:SSL3_GET_RECORD[:D]ecryption failed or bad record mac:s3_pkt.c:484:"
    2013:05:16-17:02:58 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xe43b388" function="ssl_connect" file="ssl.c" line="1304" message="ssl_handshake: Input/output error"
    2013:05:16-17:02:58 manta httpproxy[5302]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.0.0.220" dstip="217.169.192.101" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2486" request="0xe43b388" url="online.akbank.de/.../Banking"
    2013:05:16-17:03:09 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="avirascanner_log" file="avirascanner.c" line="89" message="Successfully initialized Avira SAVAPI library 1.4.0, expires 20140331, AVE 8.2.12.44, VDF 7.11.78.234 (4622055 signatures)"
    2013:05:16-17:03:09 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="avira_reload" file="avirascanner.c" line="283" message="reloading av pattern finished"
    2013:05:16-17:03:34 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="saviscanner_log" file="saviscanner.c" line="202" message="Reloading SAVI threat data"
    2013:05:16-17:03:49 manta httpproxy[5302]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="saviscanner_log" file="saviscanner.c" line="202" message="Reloading SAVI threat data finished, engine 3.43.0, threat data 4.89 from 8/5/2013 (5023653 d

    cheers schwable
  • 0
    Hallo,

    I have found other mistakes and I think there is a big mistake between dns-resolution and https-protokoll.
    So I downgrade to 9.006

    Regards schwable
  • 0
    Hi, Schwable, and welcome to the User BB!

    Thanks for posting your result.  If you try this again and have the smae issue with DNS, try removing your Forwarders, Apply, putting the Forwarders back in, Apply.

    Cheers - Bob
  • 0
    I analyzed the certificate in Internet Explorer and astaro an i come to the conclusion the Fingerprint in my ASTARO is different the on the Internet Explorer

    Is there a way to force a reload on certificates which are stored on the ASTARO ?

    5d eb 8f 33 9e 26 4c 19 f6 68 6f 5f 8f 32 b5 4a 4c 46 b4 76 --> VeriSign, Inc. VeriSign Class 3 Secure Server CA - G3 (from Internet Explorer)
    5D:EB:8F:33:9E:26:4C:19:F6:68:6F:5F:8F:32:B5:4A:4C:46:B4:76 --> VeriSign, Inc. VeriSign Class 3 Secure Server CA - G3 (from ASTARO SOPHOS)

    b1 80 39 89 98 31 f1 52 61 46 67 cf 23 ff ce a2 b0 e7 3d ab -->  VeriSign Class 3 Extended Validation SSL SGC CA (from Internet Explorer)
    4A:8A:2A:0E:27:6F:F3:3B:5D[:D]8:8A:36:21:46:01:0F:2A:8B:6A:EE -->  VeriSign, Inc. VeriSign Class 3 Extended Validation SSL SGC CA(from ASTARO SOPHOS)

    Regards Stefan
  • 0 in reply to ASTARO_SC
    Hi Balfson,

    thats the first thing I do. I put the forwarders to the original DNS-Server of the DSL-Provider. The same effect. Then I put the forwarders back.

    Regards schwable
  • 0
    Hi,

    possible workaround:

    Disable all Verisign-CAs in the UTM (in HTTPS-CAs).

    Export all Verisign-CAs from Mozilla Firefox 21 as 
    local-CAs in Sophos.

    Regards,
    astaroUser001
  • 0
    Hallo astaroUser001,

    when you do this, is this successfull?

    Regards schwable