Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 2211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question regarding MIM Attack and Scan HTTPS (SSL) Traffic

grammatonclerick
So if I check the " Scan HTTPS (SSL) Traffic " checkbox then every HTTPS site certificate will be replaced with my UTM certificate and pointing back to the UTM. 

Ergo, what is my assurance that the site I have visited actually presented the UTM with a correct certificate that pointed back to the site source and not to some Man-In-The-Middle site or poisoned cert?

I normally inspect the CERT path of the website before doing any transactions but by checking the " Scan HTTPS (SSL) Traffic " the cert path is removed.

is there a way around that or "are them the breaks"?


This thread was automatically locked due to age.
Parents
  • 0
    You must trust us here, the HTTPS proxy uses it's own CA store to validate webservers. You can see the CAs in WebAdmin in the Web Security section.
  • 0 in reply to trollvottel
    Hello Grammatonclerick

    Ok, trusting a vendor is ok as trollvottel mentioned, and I hop you trust Sophos, otherwise you wouldn't use the product I guess ;o))

    But SSL has a reason, and it would be rendered partly useless, if you couldn't verify certificates due MITM.

    So as the UTM's webproxy generated certificated with all the original attributes (vailidity dates, hostname etc.) and does verifiy the certificates BEFORE creating the MITM'ed cert for you, you get all the original messages as without MITM. That's the reason, why the UTM webproxy has the same SSL CA's imported as browsers like Firefox have built in, to be able to verify those certs.

    You have the UTM's ca cert imported to your client to trust certificates created by the UTM. But you can also easily test the behaviour:

    a) Open a Website with a selfsigned cert (a private OWA server or something similar)
    b) Open a Website with a outdated cert (if you find one...)
    c) open a website, where the hostname doesn't match (try to open a HTTPS website by it's IP adress instead of the Name for example)

    in case a) the UTM will present you a page for the untrusted cert, and a administrative user have to create a certificate trust exception on the UTM for that cert, that you can continue.

    In case b) you also will get a cert warning - same with case c)

    So you still get all SSL warnings - even if they may be presented little different (UTM blockpage instead a browser warning).

    Hope this information helps [:)]

    /Sascha
Reply
  • 0 in reply to trollvottel
    Hello Grammatonclerick

    Ok, trusting a vendor is ok as trollvottel mentioned, and I hop you trust Sophos, otherwise you wouldn't use the product I guess ;o))

    But SSL has a reason, and it would be rendered partly useless, if you couldn't verify certificates due MITM.

    So as the UTM's webproxy generated certificated with all the original attributes (vailidity dates, hostname etc.) and does verifiy the certificates BEFORE creating the MITM'ed cert for you, you get all the original messages as without MITM. That's the reason, why the UTM webproxy has the same SSL CA's imported as browsers like Firefox have built in, to be able to verify those certs.

    You have the UTM's ca cert imported to your client to trust certificates created by the UTM. But you can also easily test the behaviour:

    a) Open a Website with a selfsigned cert (a private OWA server or something similar)
    b) Open a Website with a outdated cert (if you find one...)
    c) open a website, where the hostname doesn't match (try to open a HTTPS website by it's IP adress instead of the Name for example)

    in case a) the UTM will present you a page for the untrusted cert, and a administrative user have to create a certificate trust exception on the UTM for that cert, that you can continue.

    In case b) you also will get a cert warning - same with case c)

    So you still get all SSL warnings - even if they may be presented little different (UTM blockpage instead a browser warning).

    Hope this information helps [:)]

    /Sascha
Children
No Data