Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 6181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter with HTTPS scanning and exceptions

LSassl
We are using Sophos UTM 9.106-17. I've configured the webfilter with HTTPS scanning. I've also created exceptions for some websites:

Webpage: 
https://www.postbank.de

Exception: 
^https?://([A-Za-z0-9.-]*\.)?postbank\.de/


If I open the webpage, the log shows me the following entry: 

REF_DefaultHTTPCFFAction (Default content filter action)" size="87331" request="0xd357028" url="www.postbank.de/" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size" error="" application="http"


It seems for me that the exception is valid but the browser shows me the intercepted certificate. Is there a cache where the generated certs are stored? If so, is there a way to clean up this certs?

Best regards


This thread was automatically locked due to age.
  • 0
    Hi, LSassl, and welcome to the User BB!

    My standard Exception for SSL Scanning is "SSL scanning / Certificate Trust Check" for "Finance/Banking" and I see no certificate warning when browsing to that URL.  Have you imported the Proxy CA into your browser?  You also should import it via mmc to avoid problems with Windows/Microsoft updates.

    Cheers - Bob
  • 0
    Hi Bob,

    thank you for your reply. I've talked to Sophos support. They told me, that exceptions did not work in transparent mode with SSL interception. The solution for this scenario is to use transparent-exceptions in advanced section. This is okay for some services but i have no idea how i can use this proceed to except Dropbox client connections because wildcards are not allowed.

    Regards
  • 0
    SSL scanning in Transparent Mode is really a pain...
    3 possibilities to solve this:
    [LIST=1]
    • Switch Proxy to Standard Mode (you can use Proxy autoconfig via proxy.pac script, for example)
    • Create 2 Proxy profiles: 1 in Standard Mode with SSL scanning, 1 with lower priority in Transparent mode without SSL scanning (for non-proxy-capable clients)
    • Wait for 9.2 where the SSL scanning without full interception has been advanced
      • [/LIST]
  • 0
    Sophos support [...] told me, that exceptions did not work in transparent mode with SSL interception.

    Thanks, LSassl, for teaching me something today!  I have to admit that I always put our clients on Standard first.  SSL Scanning comes later.  So, my only experience with Transparent SSL scanning was in our lab.

    Cheers - Bob
  • 0
    Hi Bob,

    I found the following in the online help:

    • SSL scanning: Select to skip SSL scanning for the webpage in request. This is useful with online banking websites or with websites that do not play well with SSL interception. Note that for technical reasons this option does not work for any transparent Web Filter mode. With transparent mode, use the Transparent Skiplist instead (see Advanced tab). In standard mode, exceptions can only be made based on the destination host or IP address depending on what the client sends. With exceptions based on categories, instead of the whole URL, only the hostname will be classified.


    If you use a REGEX based on IP addresses, this will work also in transparent Web Filter mode.

    Regards
  • 0
    If you use a REGEX based on IP addresses, this will work also in transparent Web Filter mode.

    Have you tested that with an Exception for an HTTPS URL when using SSL scanning in Transparent mode?

    Cheers - Bob
  • 0 in reply to BAlfson

    [LIST=1]
    • Create 2 Proxy profiles: 1 in Standard Mode with SSL scanning, 1 with lower priority in Transparent mode without SSL scanning (for non-proxy-capable clients)
    [/LIST]


    Thanks for your reply,

    i've created a profile in standard mode where the Exceptions based on names (like dropbox.com) can be used.

    Have you tested that with an Exception for an HTTPS URL when using SSL scanning in Transparent mode?


    Yes, if you add the Exception based on an IP address it will work also for the HTTPS URL for this IP address.
  • 0 in reply to scorpionking

    [LIST=1]
    • Create 2 Proxy profiles: 1 in Standard Mode with SSL scanning, 1 with lower priority in Transparent mode without SSL scanning (for non-proxy-capable clients)
    [/LIST]


    Thanks for your reply,

    i've created a profile in standard mode where the Exceptions based on names (like dropbox.com) can be used.