Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 1 subscriber
  • Views 62866 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Filtering Stops Working

tscott_16
I have a PC-based gateway with SSL web filtering enabled and everything works fine for a few days and then suddenly it stops working. I'm still able to surf the web just fine but anything HTTPS just passes right through without the filter ever even seeing it. I can reboot the gateway and SSL filtering works again. Any idea what's causing it to stop without warning?


This thread was automatically locked due to age.
  • 0
    We are working with a customer who has suddenly started having issues with SSL scanning too. They have HTTPS scanning enabled in transparent mode. They are randomly starting to having issues with https site they had no issues accessing before. One of the many examples, when selecting 'sign in' on the main Yahoo page, users are prompted with 'cannot display the webpage'. Below is what I see in the web filter log when trying to go to the sign in page for Yahoo. Again, this is just one example of many, those sites with issues all ultimately return the "failed to verify server certificate". 

    2014:02:18-12:53:08 astaro httpproxy[5560]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.10.100.74" dstip="98.139.180.149" user="" statuscode="204" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe2f07548" url="www.yahoo.com/p.gif;_ylt=AuYAvwISZDfP1uqnIs6KCHubvZx4

    2014:02:18-12:53:08 astaro httpproxy[5560]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.10.100.74" dstip="98.139.180.157" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="229" request="0xd9c89908" url="hsrd.yahoo.com/.../html" 

    2014:02:18-12:53:08 astaro httpproxy[5560]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="10.10.100.74" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0xdaf407c0" url="98.139.237.162" exceptions="" error="Failed to verify server certificate"
  • 0 in reply to mmcverry
    Hi, we are affected too with several UTM installations and we currently helped us with a exclusion rule on "certificate trust chec"k from our internal networks (to all urls)

    The cases I know are always with certificates from the Baltimore CyberTrust Root cert.
    (eg. Lufthansa.com or akamaihd.net pages) Current 9.108 release as well as 9.107, but not all our UTMs show the same behavior.
  • 0
    It's the same for all services using akamai loadbalancing, including Facebook on 9.108-23. It would be a lot easier if Sophos would inform us about such nasty bugs and REAL workarounds rather than giving us this ridiculous "add exception" advice.
  • 0
    cpi@bcso: thanks for the tip, that was surely a lot easier than adding individual exceptions! This works as a workaround for now until Sophos fixes the underlying issue.
  • 0
    I updated today to 9.109 and my Site-to-site SSL VPN is not longer working. Both UTM's are up to date to the same version and i didn't change anything in the config. If i reboot one of the two UTM's then i see "tunnel established" (however i cannot connect internally to any storage device or rdp to any computer from the other network..weired). After a while then the message becomes "tcp-connect". Again, all i did was updating...no changes in the firewall, config or whatsoever.
    Anyone experiancing the same?
    Ed
  • 0
    Hi,

    I had the same problem with some customers.
    Sophos support asked to upgrade to 9.109. They didn't gave us an explanation of what was going wrong.
    According to ours customers it effectivelly solved this issue.

    So you should definitively go with 9.109.
  • 0
    It just me or some https site with the error are now starting to be ok, without doing anything ?
  • 0 in reply to brassardv
    Since yesterday (20.02.) the web filter seams to be fixed with a pattern update. The sites / certs known to me as problematical go through the proxy without any issues. Pattern 57719 and above are ok on my installations.
  • 0
    Hi,

    I'm very disapointed :

    it is like when a IPS pattern kill all utm traffic ( was Astaro at this time) : no information !
    this time it kill only HTTPS proxy traffic...

    When we have the first problem they promise to inform when a problem arise, and they put in place an SMS alert that is removed by now ( I never found this option in the MyUTM portal ! )

    @brassardv, you have a ticket, does support confirm that the new pattern correct the problem ?

    At least when the problem is know a note on the official up2date blog is the minimum...

    I'll re-enable the HTTPS proxy next week, in order to test.

    Ulong
  • 0
    I dont know if i have the right to post the answer from Sophos support.

    To resume : The problem is not the UTM but the Certificate Chain on remote web server.
    Yes all this web server working before, start to have the problem the same day.

    I will ask them if they give me the permission to post there answer.

    I can see in up2date log the : 2014:02:17-08:54:46 (day and hours the problem begin)

    that this update have been install from up2date:

     Installing up2date package file '/var/up2date//cadata/u2d-cadata-9.44-45.patch.tgz.gpg'

    I look like CA (Certificate Autorities) but im not sure.

    And this is the day every thing came back: 2014:02:20-12:09:03

    Installing up2date package file '/var/up2date//cadata/u2d-cadata-9.52-53.patch.tgz.gpg'