Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3409 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Scanning Frustrations

nava
We recently enabled HTTPS scanning and I am getting errors all over the place. 

One frustrating issue is a german online class. The website works fine, but when the students need to view the actual lesson plan the firewall blocks it, giving the error "The Connection Was Reset" in Chrome. Turning HTTPS off gives no error and everything loads correctly. For now I just turned the HTTPS scanning off so they can continue to have class. I've tried to following exceptions with no success:

^https?://([A-Za-z0-9.-]*\.)?okstate\.edu/
^https?://[A-Za-z0-9.-]+\.okstate\.edu/
^https?://okstate\.edu/
^https?://([A-Za-z0-9.-]*\.)?okstate\.edu\.?/

I'm not a networking guy, which is why I'm using Sophos UTM, but I can't figure this one out. What's my problem? Also, how necessary is HTTPS scanning in the first place?


This thread was automatically locked due to age.
Parents
  • 0
    I presume this is pure transparent traffic (as opposed to explicit/standard proxy) with "Decrypt and scan" enabled.

    Going by IP, I see a public CA at http://cert.incommon.org/InCommonServerCA.crt CRL at http://crl.incommon.org/InCommonServerCA.crl but SNI can make the server return a different certificate.  Consider importing this CA.  If the server returns other certificates, are these certificates self-signed or perhaps signed by an intermediate CA that's not available?  If self-signed, you'll probably need a exception for certificate trust check on 1+ IPs at okstate.edu (139.78.0.0/16 being their entire range).

    UTM-9.2 introduces a new option of filtering based on host name (for TLS-1.1+ clients; aka SNI inspection) whereby the clients don't need any new certificates but you can block some more sites without firewall rules.  I work on a team and we have several UTMs that we've had to put in a firewall rule to block facebook due to the number of clients that are less managed and don't gracefully handle an explicit proxy system.  9.2 eliminates this need but introduces other consideration.

    Due to already diagnosed bugs resolved in 9.201 and the lack of a release of a supporting SUM, this won't be an option for us for a few months.
Reply
  • 0
    I presume this is pure transparent traffic (as opposed to explicit/standard proxy) with "Decrypt and scan" enabled.

    Going by IP, I see a public CA at http://cert.incommon.org/InCommonServerCA.crt CRL at http://crl.incommon.org/InCommonServerCA.crl but SNI can make the server return a different certificate.  Consider importing this CA.  If the server returns other certificates, are these certificates self-signed or perhaps signed by an intermediate CA that's not available?  If self-signed, you'll probably need a exception for certificate trust check on 1+ IPs at okstate.edu (139.78.0.0/16 being their entire range).

    UTM-9.2 introduces a new option of filtering based on host name (for TLS-1.1+ clients; aka SNI inspection) whereby the clients don't need any new certificates but you can block some more sites without firewall rules.  I work on a team and we have several UTMs that we've had to put in a firewall rule to block facebook due to the number of clients that are less managed and don't gracefully handle an explicit proxy system.  9.2 eliminates this need but introduces other consideration.

    Due to already diagnosed bugs resolved in 9.201 and the lack of a release of a supporting SUM, this won't be an option for us for a few months.
Children
No Data