Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 1 subscriber
  • Views 62911 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Filtering Stops Working

tscott_16
I have a PC-based gateway with SSL web filtering enabled and everything works fine for a few days and then suddenly it stops working. I'm still able to surf the web just fine but anything HTTPS just passes right through without the filter ever even seeing it. I can reboot the gateway and SSL filtering works again. Any idea what's causing it to stop without warning?


This thread was automatically locked due to age.
  • 0
    Just to mention: the problem is still here - for weeks now!
    Sadly the first fix worked, and some days after an up2date package broke it again for us.
    Maybe there is someone who can assist me in manually importing the needed root CA for not having me to enter exceptions for each and every domain with this CA?

    [rant]
    The tech support guy from UTM support told us, that he is unable to understand why the - what was it? - "global escalation premium programmer chief of lightning and strike detonator" has thrown those CA out without testing against some sites where they are used... And in the end he was not able to help us. Again! "Premium support". Bah.
    The only ones who really help are you guys in this forum. Without you our CEO would have thrown out the whole appliance on more than one occasion!
    [/rant]
  • 0 in reply to Michael Dunn
    Hi guys, I'm going to let support deal with this one, it's out of my area of expertise.

    The only other thing I have found out is this command:
    rpm -qa| grep u2d

    This will show currently installed versions.  This was supposed to be fixed in u2d-cadata-9-53.


    I'm on u2d-cadata-9-55 and I now see that I have Valicert listed in the CA section, AND I can get to https://www.kickstarter.com without getting the cert warning.
  • 0 in reply to SmallAdmin
    I trashed my v9.2 UTM due to these problems.  Then this morning I got an update on Ubuntu with the following problem being patched:

    Summary: SSL refuses to work with some https sites on both 12.04, 13.04,  13.10, for fresh and updated installations. It is an issue with  OpenSSL's handling of certificates..

    This might be the root cause of our difficulties.  I'm a home user so I'm not on anyone's radar at Sophos, but if you have an escalation path, I'd be curious what they say about this.

    Here's the full bug:  https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/1014640
  • 0
    Can someone who is experiencing this (cannot go to kickstarter) please confirm:
    - The UTM is doing SSL Scanning (in 9.2 Decrypt and Scan)
    - The browser has the proxy's CA installed (separate for each browser)
    - The error appears in multiple browsers
    - Exactly what the error message is (screenshot of multiple browsers ideal)

    If someone is experiencing this and has a proxy AND client that I can use (eg VPN to client or proxy exposed to internet) and is willing to have us investigate on box, please contact me.


    Note: In some investigation we saw that kickstarter uses a newer standard called HSTS (HTTP Strict Transport Security) which in part tells browsers to be more careful about man-in-the-middle attacks (which is exactly what we do).  Internet Explorer does not support HSTS so if it works in IE and not in FF this might be the cause.
  • 0
    Michael, the problem was with all GoDaddy certs.  Check my alert in support case #4291951.

    Cheers - Bob
  • 0
    Additionally, it is not the browser to not accept the traffic. It's the UTM itself because of a "invalid certificate". One support guy from Astaro Germany even told us by phone that those certificates where removed by error...
  • 0
    Well unfortunately the problem has now come back for me. I noticed this morning there was hardly anything in the search engine report for the past few days and sure enough, it was no longer seeing searches over SSL. Rebooted and it's working for the moment. This is bad because a user can search for ****ography or any other category that might be blocked on any search engine that supports SSL and it's completely invisible to the filter. Sure, once they click on a search result it probably won't be encrypted and the UTM will block it then, but this is a gaping hole in being able to monitor what's going on.
  • 0
    I dont know if my problem is the same as yours but my UTM is at 9.111-7 and I am experiencing some problems with gmail.com and maps.google.com.
    They both use SSL (https) and sometimes I receive errors like "ssl connectionn error" and "page cannot be displayed".
    Any ideas or updates?
  • 0 in reply to Godself
    I'm seeing the same issue with Gmail and google drive. I can't log in and it times out. 

    If I switch the computer to another connection on a dd-wrt router I am able to log into Gmail. 

    Mike
  • 0 in reply to va3mw
    I 'think' I figured this out.

    Checking the firewall, it was blocking 74.125.70.84 outbound on port 443 saying it was be blocked for a Country... China.

    When I check 74.125.70.84, it shows up as Google in California.  

    I turned off Country Blocking and I was able to log into Gmail/Google Drive.  

    It seems a bad set of definitions got loaded up yesterday??  

    Mike



    Summary on IPv4 Address - 74.125.70.84

    Host:  hx-in-f84.1e100.net
    Owner:  Google Inc
    IP Country:  USA,  California,  Mountain View

    Do any Crawler Bots use this IP ?   No
    Is this IP on a Blacklist ?   No

    Record Update Time:     22 Apr 2014, 15:12
    Create Record Time:   21 Feb 2012, 05:57