SSL Filtering Stops Working

We still have problem with SSL Scanning. Some website cannot be accessed if we not add them in the transparent mode.

Example:

https://www.pes.csst.qc.ca/DeclarSalaires/Etape2.aspx?NRMODE=Published&NRNODEGUID=%7bAB3B5C8A-094B-4C91-BD6B-A7FAA70B0F9E%7d&NRORIGINALURL=%2ffr%2fADC%2fdeclarsalaires%2fetape2%2ehtm&NRCACHEHINT=LoggedIn

PLEASE HELP US!!!

UTM Team : Do a rollback of the SSL scanning code from a version before this thread.

Please have your reseller submit a Support request to Sophos.  No one at Sophos is paid to participate here.  The only exception is when the developers work with public beta participants.

Cheers - Bob

Trying to read this thread there are two issues:

1) Certificates not being accepted.  This is a data problem, AFAIK it has been solved.

2) One person is having problems with HTTPS scanning not always working.


In the second case it is almost always a problem of configuration.

If anyone is having problems with HTTPS scanning working intermittently I would first take a hard look at your configuration.  Make sure it is turned on in all profiles.  Make sure you do not have a firewall rule that allows HTTPS traffic out.  Make sure you are not hitting a source or destination skiplist.

Please note that 9.200 has been soft released and contains many changes to HTTPS scanning in Transparent Mode.

Trying to read this thread there are two issues:

1) Certificates not being accepted.  This is a data problem, AFAIK it has been solved.

To be sure that we don't have a configuration problem: could you please have a look at kickstarter.com? I still get the certificate problem for those Godaddy certificates on all UTM as of 06-mar-2014!

Yes, Michael, that continues to be an issue.  I submitted a bug report via a support request a week ago: #4291951

Cheers - Bob

Trying to read this thread there are two issues:

2) One person is having problems with HTTPS scanning not always working.

Since updating to 9.109-1 I haven't had any trouble. I'm hoping that has finally addressed the problem.

Since updating to 9.109-1 I haven't had any trouble. I'm hoping that has finally addressed the problem.

We're still seeing this problem even after updating to 9.109 as well...  

Is https://www.kickstarter.com not blocked with the SSL error "self signed certificate in certificate chain" for you?

The CA definitions are controlled by up2date in a way the virus definitions are.  Unfortunately I don't know much about this and my lab test systems behave differently.

I believe your definitions are out of date, however I don't know how to check and cannot advise you on how to fix this.

Do you have any errors logged in /var/log/up2date.log?

I have no problems with kickstarter, with a machine installed yesterday.

The actual CA certs are here:

van-asg-03:/var/storage/chroot-http/etc/ssl/certs # ls -l /var/storage/chroot-http/etc/ssl/certs/*Daddy*

-rw-r--r-- 1 root root 1499 Mar 17 17:17 /var/storage/chroot-http/etc/ssl/certs/Go_Daddy_Class_2_CA.pem
-rw-r--r-- 1 root root 1438 Mar 17 17:17 /var/storage/chroot-http/etc/ssl/certs/Go_Daddy_Root_Certificate_Authority_G2.pem
-rw-r--r-- 1 root root 1750 Mar 17 17:17 /var/storage/chroot-http/etc/ssl/certs/STATIC_GoDaddy.com_Inc_Go_Daddy_Secure_Certification_Authority.pem

Im still having problem with godaddy.
Since it not all SSL, like before, im using exeptions. And hoping sophos to push a patch.
Do you have a support ticket on this ahargrove ?